De l’agrément HADS vers la certification HDS

Vous souhaitez héberger vos données de santé comment trouver le meilleur prestataire ? Vous avez entendu parler de sociétés agréées HDAS et d’autres certifiées HDS. Cependant, vous ne connaissez pas les différences entre les deux.

L’origine de l’agrément HADS ou Hébergeur Agréé de Données de Santé

L‘agrément HADS permet d’héberger des Données de Santé à Caractère Personnel (DSCP). Cet agrément a été créé en France par l’ANS (Agence du Numérique en Santé). Les DSCP sont des informations particulièrement sensibles, c’est pourquoi le Gouvernement français a jugé utile de définir des règles spécifiques. Elles ont pour but d’assurer que les sociétés les hébergeant offrent un maximum de garanties à leurs clients :
– disponibilité constante des données;
– traçabilité des modifications;
– mesures de sécurité assurant l’intégrité et la confidentialité des informations.

L’ANS a ainsi défini des modèles organisationnels et techniques à suivre pour assurer des prestations sûres et de qualité.
– crypter les flux d’informations;
– créer des habilitations spécifiques;
– surveiller les accès;
– fiabiliser les procédures d’identification;
– etc.

La procédure d’agrément HADS

Afin d’obtenir cet agrément, les hébergeurs devaient remplir un dossier dont le contenu avait été défini par l’ANS. Ce dossier était ensuite étudié par plusieurs organismes qui donnaient leur avis. On y retrouvait : Le Comité d’agrément des hébergeurs et la Commission nationale de l’informatique et des libertés (CNIL).

Une fois cette étape passée, le dossier était transmis au Ministère de la Santé, la décision finale d’approbation ou de rejet de la demande incombant au ministre. Lorsque l’agrément était accordé, après une procédure de généralement 8 mois, l’hébergeur agréé HADS était habilitée à conserver des DSCP (Données de Santé à Caractère Personnel) pendant 36 mois. Son agrément était annoncé dans le bulletin officiel du ministère de la Santé.

Quelle est la différence entre HADS et HDS ?

Les dossiers de demande d’agrément HADS déposés jusqu’au 31 mars 2018 ont été instruits en suivant la procédure habituelle. À partir de cette date, une nouvelle norme est entrée en vigueur : la certification HDS (Hébergeur de Données de Santé).

Cette nouvelle certification ne rend pas l’agrément caduc. Pendant 3 ans à compter de l’obtention de son agrément, un hébergeur HADS peut toujours les DSCP de ses clients. Cependant, en termes de sécurité et de fiabilité, il est certain que les standards imposés par la certification HDS sont supérieurs à ceux de l’agrément HADS.

Les hébergeurs HDS

La certification HDS est une norme internationale, contrairement à l’agrément HADS. Elle n’est pas attribuée sur simple revue d’un dossier mais en faisant intervenir un organisme certificateur indépendant qui a été accrédité par l’État.

L’attribution de la certification nécessite de passer par deux audits, un documentaire et un réalisé sur site. Les exigences de cette certification reposent notamment sur les normes ISO 27001, ISO 20000:2011 et ISO 27018 :2014.

Audit documentaire

L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.

Audit sur site

Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.

L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée.

D’autres critères spécifiques au domaine de la santé sont également pris en compte. Comme pour toute certification internationale, les audits peuvent amener à détecter des non-conformités qui doivent être corrigées puis à nouveau auditées. En l’absence de non-conformités ou si elles ont été corrigées, le certificat est attribué pour une durée de 3 ans. Chaque année, un audit de suivi est réalisé chez les entreprises certifiées.

DIGITICS a l’habitude de travailler avec des collaborateurs du domaine du médical et paramédical !

Comment savoir si son hébergeur actuel est certifié HDS ?

Tous les organismes publics ou privés qui hébergent, exploitent des données de santé, ou qui réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé, doivent être certifiés HDS. Mais comment savoir si son hébergeur est certifié HDS ? L’Agence des Données de Santé met à disposition une liste des hébergeur certifiés.

Liste des hébergeurs HDS