Données de santé : Hébergement HDS

hebergement-donnees-de-sante

L’hébergement des données de santé est soumis à un ensemble de règles strictes visant à préserver la confidentialité et l’intégrité des données recueillies auprès des différents intervenants et notamment des patients.

L’Hébergement de données de santé à caractère personnel

A ce titre la solution de sauvegarde NeoBe Santé intègre les contraintes relatives à ce type de données. En effet NeoBe Santé applique les conditions contractuelles imposées au traitement des données de santé. Les données sont sauvegardées sur des serveurs agrées HDS (Hébergeur de Santé) en France métropolitaine.

Les solution Drop-Cloud Santé ’appuient sur l’offre d’hébergement dédiée au domaine médical agrée par l’ASIP Santé.

La procédure d’agrément des hébergeurs de données de santé

La procédure d’agrément des hébergeurs de données de santé à caractère personnel a été remaniée par la loi de modernisation du système de santé du 26 janvier 2016 au bénéfice d’une procédure de certification (la loi de modernisation de notre système de santé n°2016-41 a été promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016).

Pilotée par l’ASIP Santé, elle s’impose dans plusieurs conditions. « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée » (art. L.1111-8 Code de la Santé Publique).

La réglementation ASIP Santé

Selon l’interprétation pragmatique de l’ASIP Santé, la réglementation (art. L1111-8 et R1111-9 à 14 CSP) s’applique à tout responsable de traitement, au sens de la loi Informatique et libertés n°78-17 du 6-1-1978 qui externalise l’hébergement des données de santé à caractère personnel qu’il traite, incluant notamment les mutuelles et assurances. L’agrément est délivré après instruction (8 mois maximum) d’un dossier remis par le candidat à l’ASIP Santé, s’articulant autour de 6 principaux formulaires détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.

D’après l’ASIP Santé, le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.

Évolution de l’agrément HDS en Certification

La procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite « loi Kouchner ». Elle vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.

A l’initiative des pouvoirs publics et d’ici le 1er avril 2020 l’« agrément HDS » sera remplacé par une « certification », s’appuyant sur la détention d’une double certification ISO27001/HDS et ne visant plus seulement l’hébergeur, mais également l’infogéreur que nous sommes dans le cadre d’un produit de sauvegarde tel que NeoBe-santé.

Cette évolution est décrite dans le nouveau référentiel de certification HDS : https://esante.gouv.fr/services/certification-des-hebergeurs-de-donnees-de-sante.

DropCloud, éditeur de la solution NeoBe-Santé a initié une démarche de certification ISO27001/HDS pour remplir cette obligation avant fin 2019. Cette double démarche ISO27001/HDS devra au même titre être réalisée en propre par toute société qui par son logiciel, son offre SAAS ou l’infogérance de son offre sauvegarde des données de santé. Si elle dispose déjà d’un hébergement Santé, à l’échéance de son agrément HDS, toute société d’hébergement devra au même titre disposer de cette certification ISO27001/HDS, à défaut de quoi elle ne sera plus en mesure de maintenir son offre « santé » (en hébergement comme en infogérance).

La démarche ISO27001/HDS de l’éditeur est et sera le critère primordial dans la sélection d’un opérateur de sauvegarde en ligne des données de santé et nous vous invitons à l’intégrer dans votre étude du marché.

 

Olivier CARRE
Olivier CARRE
Directeur Marketing et Commercial – DropCloud