Vous êtes un professionnel de santé ? Découvrez comment s’assurer de la conformité HDS dans le choix d’une solution de stockage en ligne.
Conformité HDS : Ce qu’il faut savoir
Pour un professionnel de santé, il est indispensable de confier ses précieuses données à un hébergeur certifié HDS. Or, dans le marché pléthorique des applications de stockage à distance, nombreuses sont celles qui revendiquent cette conformité. Mais qu’en est-il vraiment ? En quoi consiste le certificat HDS et comment l’obtient-on ? Quel est le cahier des charges imposé ?
Afin de vous permettre de choisir votre hébergeur en connaissance de cause, DropCloud vous en dit plus sur les subtilités de la certification HDS.
Les critères d’obtention d’un certificat HDS, une histoire de normes
Mis en place par le Code de la santé, le certificat HDS, comme son sigle l’indique, s’impose aux Hébergeurs de Données de Santé. Pour l’obtenir, les prestataires de stockage en ligne doivent répondre à un certain nombre de normes et de garanties en termes de sécurité informatique.
ISO 27001 et l’assurance de la conformité HDS
Tout repose sur la norme ISO 27001, qui constitue à elle seule les quatre cinquièmes de la certification. Cette norme précise les caractéristiques exigées d’un système de management de la sécurité de l’information (SMSI) pour qu’il soit jugé satisfaisant. Le SMSI doit être en mesure de garantir la sécurité du système d’information de l’entreprise ou de l’organisme concerné. Il doit notamment être capable de prévenir toute intrusion, altération ou perte de données. Mais de quelles données parle-t-on ici ? Il s’agit des données à caractère personnel, financier, intellectuel ou toute autre information confidentielle que détient l’organisme. La certification ISO 27001 des structures de santé permet donc aux patients de s’assurer de la protection de leurs données personnelles.
ISO 20000
ISO 20000 est une norme de certification des services informatiques des organisations. Elle permet de s’assurer du respect d’un certain nombre d’exigences de qualité. Un organisme certifié ISO 20000 a démontré qu’il avait su mettre en place un système de management des services rigoureux et sûr. Il a su se montrer vigilant lors de sa mise en place. Il surveille étroitement son exécution, sa sécurité et sa maintenance. La norme ISO 20000 garantit un contrôle régulier des systèmes d’information de l’organisme, qui veille donc à rester en permanence à la pointe de la sécurité informatique. Elle représente un réel avantage concurrentiel.
Comme ISO 27001, ISO 20000 fait partie du cahier des charges pour l’obtention d’un certificat HDS. Cela permet de garantir la vigilance de l’hébergeur de données de santé. Celui-ci doit exercer une veille active face aux dangers qui guettent les systèmes connectés. Elle constitue une assurance que les données de vos patients ne subiront pas de fuite, de rançonnage ou de destruction.
Outre la conformité à ces normes, les hébergeurs de données de santé s’engagent à respecter la stricte confidentialité des données qui leur sont confiées.
La protection des données à caractère personnel
L’engagement à respecter la protection des données repose sur une coopération totale avec le client dans la gestion de ces informations. Ainsi, aucun hébergeur de données de santé ne peut s’autoriser à traiter, modifier ou utiliser les données qui lui sont confiées à d’autres fins que leur hébergement. Le prestataire doit par ailleurs définir avec son client un délai de détention des informations. Au-delà de ce délai, il s’engage à les effacer intégralement.
Par ailleurs, si la justice opère une saisie des données dont il est dépositaire, il doit en informer immédiatement son client. Si, avec l’autorisation de ce dernier, il transmet les données à un tiers, il doit en assurer la traçabilité. Il doit également sécuriser les transferts entre son client et lui. Enfin, il ne peut en aucun cas sous-traiter la gestion des informations confiées, sauf autorisation expresse du client.
Le transfert et le stockage des données personnelles doivent faire l’objet d’un cryptage préalable. En cas d’intrusion dans son système de stockage, l’hébergeur doit immédiatement informer son client. Enfin, dans la perspective de la fin du contrat d’hébergement, les modalités de restitution des données confiées sont fixées à l’avance.
L’engagement au respect de la protection des données personnelles par l’hébergeur est indispensable à l’octroi d’un certificat HDS. Il en découle la responsabilité de l’hébergeur aux termes du contrat signé avec son client. En cas de non-respect des clauses prévues dans cet accord, le client peut attaquer son hébergeur devant la justice.
Ce dernier point est fondamental. Il permet en effet de distinguer un hébergeur certifié HDS d’un prestataire qui se prétendrait « conforme » HDS. Le premier engage sa responsabilité par contrat, ce que le second se gardera bien de faire, du moins à un tel niveau.
DropCloud santé, une solution certifiée HDS
DropCloud Santé est une solution complète de travail en ligne pour les professionnels de santé. Ses nombreuses applications de sauvegarde, de transfert et de partage sont toutes certifiées ISO 27001 et certifiées HDS. De plus, DropCloud est une entreprise française dont les serveurs sont situés en France. Les données que vous nous confiez sont donc protégées par la législation française. Par ailleurs, nous nous engageons contractuellement à leur restitution.
Avec DropCloud Santé, vos données sont accessibles 24 heures sur 24, depuis n’importe quel ordinateur. Vous bénéficiez d’une sauvegarde automatisée et d’une restauration accessible en quelques clics. De plus, grâce à nos solutions de partage et de transfert, vos collaborateurs peuvent télétravailler en toute simplicité. Vous pouvez également créer des comptes patients pour la consultation des dossiers personnels. Vous pouvez même personnaliser l’interface pour afficher votre identité visuelle.
Avec DropCloud Santé, adoptez une solution complète et sûre pour la protection des données de vos patients.