Du changement pour l’hébergement des données de santé (HDS)
L’arrêté du 29 juin 2018 marque le passage pour les hébergeurs de données de santé d’un système d’agrément accordé par l’État à un dispositif de certification délivré par un tiers de confiance.
———-
Les données de santé sont des informations sensibles qui ont trait à la santé d’une personne physique, aux diagnostics, aux soins qui méritent une sécurité et une confidentialité maîtrisées.
Cette protection passe notamment par la certification des hébergeurs de données de santé, qui doit répondre au respect de certaines normes de certification. L’organisme certificateur doit quant à lui être accrédité par le Comité français d’accréditation (COFRAC).
Pour vérifier la conformité d’un hébergeur de données au référentiel en vigueur, l’organisme certificateur va effectuer une vérification en deux étapes distinctes :
- Contrôle documentaire : sur les systèmes d’information, afin de s’assurer que ces derniers sont conformes au référentiel.
- Contrôle sur site : sur la conformité technique.
En cas de non-conformité, l’hébergeur dispose de trois mois pour rectifier les écarts identifiés. Sans résultat au terme de ce délai, le contrôle sur site est à renouveler.
Si toutes les conditions exigées par le référentiel sont réunies, le certificat est délivré pour une période de 3 ans, avec néanmoins une surveillance annuelle.
Depuis la publication de ces référentiels, trois organismes, dont un membre de la COPREC, peuvent délivrer des certificats HDS. Un premier hébergeur de données a obtenu sa certification.