Les données de santé (antécédents médicaux, soins administrés, prise de médicaments, etc.) sont des informations particulièrement sensibles. Leur gestion est alors strictement encadrée par la loi afin de protéger les droits de tout un chacun. Depuis le 1er avril 2018, il est nécessaire d’obtenir la certification HDS pour l’hébergement des données de santé. De quoi s’agit-il ? Quelle est la procédure pour l’obtenir ?
Qu’est-ce que la certification HDS ?
Les hébergeurs souhaitant stocker des données de santé doivent obtenir la certification HDS, ou certification Hébergeurs de Données de Santé. Seul un hébergeur l’ayant obtenue est autorisé à stocker ce type d’informations. Délivrée par l’Agence du Numérique en Santé, elle atteste que les données de santé à caractère personnel sont traitées de façon transparente et responsable.
Pour les patients, la certification HDS assure le respect de la vie privée et le secret médical. Il s’agit d’une garantie de sécurité pour vos informations de santé. Pour les organismes de soins et de santé, cela permet de centraliser et d’accéder en toute simplicité et sécurité aux données des patients, afin de faciliter leurs missions au quotidien. Cela permet également de prévenir les risques de cyberattaques, et de répondre à une obligation de conformité.
Les différents niveaux de certification
Il existe deux niveaux de certification. Il peut être nécessaire d’obtenir les deux en fonction de l’activité de l’hébergeur.
Le certificat « hébergeur d’infrastructure physique »
Est concerné par ce certificat tout établissement qui met à disposition et exploite des données de santé à caractère personnel dans des endroits d’hébergement physique. Il est alors dans l’obligation de maintenir opérationnel le site et l’infrastructure matérielle du système d’information (SI) utilisé pour traiter les données.
Le certificat « hébergeur infogéreur »
Il concerne les établissements dont l’objectif est de mettre à disposition et d’exploiter les données de santé en les stockant dans une infrastructure virtuelle, le cloud, ou encore une plateforme logicielle. Comme pour le premier, ces organismes sont obligés de maintenir opérationnelles la solution d’hébergement et les infrastructures utilisées pour stocker les données.
Comment entamer le processus de certification ?
En tant qu’hébergeur, vous devez choisir un organisme certificateur accrédité par le Cofrac (Comité français d’accréditation). Ce dernier va alors réaliser un audit qui se déroule en plusieurs étapes :
- la première étape consiste à engager un auditeur afin de réaliser une visite d’évaluation et un pré diagnostic. Elle est facultative, mais recommandée, afin d’obtenir un état des lieux et des conseils,
- l’organisme accréditeur intervient et passe en revue votre SI sur le plan documentaire, afin de le comparer au référentiel de certification,
- cette étape est suivie d’un audit sur site, elle-même suivi d’un délai de trois mois pour vous permettre de régler les problèmes de non-conformité. Un contre-audit de correction est alors effectué. Si les corrections n’ont pas été faites dans le délai imparti, l’audit sur site est recommencé depuis le départ,
- si les corrections ont été faites, l’organisme vous remet le certificat HDS, valable durant trois ans.
Un audit annuel de suivi doit également être réalisé, en plus de l’audit de renouvellement tous les trois ans.
Conseils pour rester en conformité avec la réglementation HIPAA
En règle générale, lorsque vos activités impliquent l’utilisation, la transmission et le stockage de données de santé, vous devez être en conformité avec l’HIPAA (Health Insurance Portability and Accountability Act). Si votre organisme est alors régi par ces normes, vous pouvez suivre quelques conseils pour rester en conformité. Définissez clairement votre politique de confidentialité pour vous assurer du respect du règlement, et éduquez le personnel sur la conformité HIPAA, avec une formation annuelle de sensibilisation pour les employés concernés par exemple. Ensuite, utilisez les bons logiciels, pour conserver les données de façon sécurisée. Enfin, mettez en place un processus d’audit interne pour garantir la conformité HIPAA.
Un problème de conformité peut être à l’origine de lourdes amendes et ternir votre image.
