Hébergement sécurisé des données de santé : du changement pour les hébergeurs

09 avril 2019

Experte en hébergement, stockage et archivage des données de santé à caractère personnel, Epiconcept met à disposition de ses clients une solution sécurisée et agréée depuis 2012. La réglementation sur le sujet évolue, et Epiconcept avec elle : le point sur les changements en cours.

La réglementation a changé

Jusqu’en mars 2018, les hébergeurs gérant des données de santé pour le compte de tiers et respectant des critères de sécurité prédéfinis étaient éligibles à l’agrément « Hébergeur de Données de Santé » (HDS).

Suite au décret du 26 février 2018,  ce dispositif est amené à disparaître au profit de la certification. Pour permettre une transition fluide à toutes les sociétés concernées, les agréments décernés avant le 26 février 2018 courront sur toute leur durée de validité. Une entreprise renouvelée le 1er février 2018 reste ainsi agréée jusqu’en février 2021.

La nouvelle certification : détail et modalités d’attribution

La nouvelle certification “Hébergeur de données de santé  à caractère personnel” développée par la Délégation à la Stratégie des Systèmes d’Information de Santé (DSSIS) et l’ASIP Santé est basée sur le respect de normes internationales (ISO 27001+ éléments des normes ISO 2000-1 & ISO 27018) ainsi que sur des compléments propres à la réglementation française.

Elle est décernée par un organisme certificateur indépendant qui effectue un audit sur site en 2 étapes : Un contrôle sur le corpus documentaire et les procédures décrivant l’organisation et les réponses techniques aux exigences de sécurité ; un contrôle de la mise en oeuvre opérationnelle de ces mesures.

L’hébergeur de données de santé se voit ensuite remettre un certificat ISO 27001 ainsi qu’un certificat HDS mentionnant le périmètre des services concernés.

Les bénéfices attendus de la certification

La réforme vise à sécuriser encore davantage les données personnelles. Une ambition justifiée par l’accroissement des dispositifs permettant de collecter, stocker ou partager des données de santé entre professionnels et établissements de santé : dossiers médicaux dématérialisés, dispositifs connectés, applications de santé… Les professionnels certifiés feront désormais l’objet de contrôles annuels (avec des audits sur site).

Mise en oeuvre de la certification par Epiconcept

Epiconcept fait partie des premiers hébergeurs à devoir s’aligner sur les nouvelles normes. Engagée dans la nouvelle démarche dès parution des référentiels en juin 2018, son agrément a été prolongé de six mois (délai accordé à toutes les entreprises certifiées) et court jusqu’à fin avril. Un temps nécessaire pour la tenue des audits de certification, dont la deuxième et dernière étape a été franchie début avril. Le processus aboutira dans les prochaines semaines.

Pour Epiconcept, la certification couvrira les services de développement, maintenance, support et traitement des données (data science) des applications Voozanoo et de leurs modules, et quatre des six périmètres éligibles :

3. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;

4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;

5. L’administration et l’exploitation du système d’information contenant les données de santé ;

6. La sauvegarde des données de santé.

Les items 1 et 2 se rapportent à l’hébergement physique (data center et hardware) qui ne concernent pas Epiconcept.

En fournissant un cadre leur permettant d’opérer en toute tranquillité, Epiconcept confirme ainsi son engagement auprès de ses clients responsables de traitement de données de santé.