Des données à protéger à tout prix
Presque qu’un an après l’entrée en vigueur du nouveau Règlement Général sur la Protection des Données (RGPD), les établissements de santé sont confrontés à la nouvelle règlementation concernant l’hébergement de données de Santé. Ce sont deux réformes complémentaires et la mise en application de la certification HDS servira d’outil de conformité au responsable de traitement.
Pierre Blondin, précise « avec cette nouvelle règlementation nous passons d’un Agrément de Données de Santé à sa certification par un organisme accrédité. Cette certification nommée Hébergement Données de Santé (HDS) précise les modalités de mise en œuvre de la procédure, la période de transition entre l’agrément et la certification ainsi que les différents critères et périmètres à respecter pour pouvoir héberger de la donnée de santé. Cela ne concerne plus uniquement les hébergeurs, c’est tout le circuit de la donnée qui est concerné ! »
Pierre Blondin, précise « avec cette nouvelle règlementation nous passons d’un Agrément de Données de Santé à sa certification par un organisme accrédité. Cette certification nommée Hébergement Données de Santé (HDS) précise les modalités de mise en œuvre de la procédure, la période de transition entre l’agrément et la certification ainsi que les différents critères et périmètres à respecter pour pouvoir héberger de la donnée de santé. Cela ne concerne plus uniquement les hébergeurs, c’est tout le circuit de la donnée qui est concerné ! »
Quel est l’objectif de la certification Hébergeur de Données de Santé (HDS) ?
La certification HDS a pour vocation de renforcer la protection des données de Santé à caractère personnel et de construire un environnement de confiance autour de l’E-santé et du suivi des patients. La technologie ne cesse d’évoluer et le secteur de la santé est un des premiers concernés.
La télémédecine, par exemple, permet de réaliser des consultations à distance mais il faut bien que le dossier du patient soit accessible pour effectuer son suivi. Ces informations doivent donc être encadrées, sauvegardées et sécurisées.
Cette nouvelle règlementation vise justement à protéger la donnée du Patient en faisant appel à des professionnels certifiés qui feront l’objet de contrôles annuels (avec des audits sur site), et qui devront répondre à des périmètres d’expertise bien précis. À l’issue de la procédure de certification, l’hébergeur de données de santé obtiendra deux certificats, un certificat ISO27001 ainsi qu’un certificat HDS mentionnant son périmètre « hébergeur infrastructure physique » et/ou « hébergeur infogéreur ».
La télémédecine, par exemple, permet de réaliser des consultations à distance mais il faut bien que le dossier du patient soit accessible pour effectuer son suivi. Ces informations doivent donc être encadrées, sauvegardées et sécurisées.
Cette nouvelle règlementation vise justement à protéger la donnée du Patient en faisant appel à des professionnels certifiés qui feront l’objet de contrôles annuels (avec des audits sur site), et qui devront répondre à des périmètres d’expertise bien précis. À l’issue de la procédure de certification, l’hébergeur de données de santé obtiendra deux certificats, un certificat ISO27001 ainsi qu’un certificat HDS mentionnant son périmètre « hébergeur infrastructure physique » et/ou « hébergeur infogéreur ».
Qui est concerné par cette nouvelle règlementation ?
Toute personne traitant ou stockant de la donnée de Santé à des fins de suivi. D’ailleurs, l’ordonnance du 12 janvier 2017 est très précise sur ce point« Toute personne qui héberge des données de Santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».
Néanmoins, quelques exceptions subsistent. En effet, La CNIL tolère que les hôpitaux ne passent pas la certification HDS. Les professionnels de Santé hébergeant leurs données « en local », et au sein d’une même entité juridique, ne seront pas obligés d’obtenir cette certification pour leurs propres données.
En revanche, ils ne pourront pas faire appel à des prestataires externes pour la maintenance de leurs infrastructures, par exemple, s’ils ne sont pas certifiés HDS. « Toute la complexité est là et c’est une notion essentielle aujourd’hui à prendre en compte ! » précise Pierre Blondin.
Néanmoins, quelques exceptions subsistent. En effet, La CNIL tolère que les hôpitaux ne passent pas la certification HDS. Les professionnels de Santé hébergeant leurs données « en local », et au sein d’une même entité juridique, ne seront pas obligés d’obtenir cette certification pour leurs propres données.
En revanche, ils ne pourront pas faire appel à des prestataires externes pour la maintenance de leurs infrastructures, par exemple, s’ils ne sont pas certifiés HDS. « Toute la complexité est là et c’est une notion essentielle aujourd’hui à prendre en compte ! » précise Pierre Blondin.
Quelles sont les options ?
Les GHT pourraient souhaiter acquérir cette certification en mutualisant les ressources, et en disposant d’un PRA chez un Hébergeur certifié HDS ou bien passer directement par un Hébergeur de Données de Santé. Cette seconde option représente un double avantage ; D’une part au niveau des ressources de la plateforme car passer par un hébergeur professionnel offrira une plus grande flexibilité et agilité dans l’allocation des ressources. D’autre part, en termes d’investissement, avec un hébergeur vous paierez ce que vous consommez alors qu’en interne vous devrez investir dans des équipements souvent coûteux.
Les laboratoires d’analyse, les centres d’Imagerie Médicale, les centres hospitaliers, les cliniques privées… peuvent également obtenir cette certification. À noter, néanmoins, que cela représente des investissements techniques, humains et financiers importants au vu du nombre d’exigences de la certification et du temps nécessaire à son obtention.
Pour en savoir plus et échanger avec nous, nous vous invitons à vous inscrire à notre conférence : https://www.foliateam.com/conference-hebergement-de-donnees-de-sante-etes-vous-prets/
Les laboratoires d’analyse, les centres d’Imagerie Médicale, les centres hospitaliers, les cliniques privées… peuvent également obtenir cette certification. À noter, néanmoins, que cela représente des investissements techniques, humains et financiers importants au vu du nombre d’exigences de la certification et du temps nécessaire à son obtention.
Pour en savoir plus et échanger avec nous, nous vous invitons à vous inscrire à notre conférence : https://www.foliateam.com/conference-hebergement-de-donnees-de-sante-etes-vous-prets/