Hébergeur de données de santé depuis novembre 2019, HOSTEUR a le droit de stocker et de gérer des données à caractère personnel relatives à la santé d’une personne physique. Cela nous permet d’accompagner nos clients travaillant dans le domaine de la santé en leur proposant un hébergement conforme à toutes les exigences décrites dans le code de la santé publique en France.
Changements législatifs
Existant depuis 2018, la certification HDS a été précédée par un autre système : celui d’agrément délivré par le ministère de la santé.
Ainsi le décret 2018-137 (article 2, sous-section 2) a introduit un schéma d’assurance qui repose sur des organismes de certification privés accrédités (dans le cas d’HOSTEUR, Bureau Veritas). Cette dernière s’appuie sur la certification ISO 27001, le référentiel mondialement reconnu pour le management de la sécurité de l’information.
La nouvelle législation a également imposé la certification à toute la chaîne de sous-traitance de l’informatique de santé. Tout acteur qui contribue à au moins d’une des activités suivantes est concerné :
- La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
- La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information.
- L’administration et l’exploitation du système d’information contenant les données de santé.
- La sauvegarde des données de santé.
Déroulement de la procédure de certification
Afin d’obtenir sa certification HDS, HOSTEUR a été audité par l’organisme mondialement reconnu Bureau Veritas. Ce dernier a inspecté nos procédures de sécurité et vérifié le respect de :
- l’intégralité de la norme ISO 27001 relative aux systèmes de management de la sécurité des informations (SMSI)
- certaines exigences de l’ISO 20000 relatives au système de gestion de la qualité des services
- certaines exigences de l’ISO 27018 concernant la protection des données à caractère personnel
- une liste d’exigences spécifiques à l’hébergement de données de santé.
Après une étude et vérification détaillée de toutes les procédures mises en place par HOSTEUR, l’auditeur a conclu que nos services sont conformes aux exigences de la norme qui nous permet d’héberger des systèmes d’information utilisés pour le traitement de données de santé.
Périmètre de la certification HDS
HOSTEUR a obtenu en novembre 2019 la certification HDS pour toutes les activités mentionnées ci-dessous.
Toutefois, nos clients doivent quand même vérifier si leur certification est nécessaire.
Veuillez noter que le périmètre de notre certification ne concerne que les activités d’HOSTEUR et pas celles de nos clients. Par conséquent, si le client :
- N’est pas le responsable des traitements qu’il nous confie et
- Ne bénéficie pas d’une exemption prévue par la loi CSP L1111-8 ou précisée par l’ASIP Santé, il doit se faire certifier. Ci-dessous, vous trouverez une liste non exhaustive d’activités opérationnelles qui nécessitent d’être certifié :
# | Activités certifiables (Décret 2018-137 – CSP article R.1111-9) | Activités opérationnelles du client | Activités opérationnelles d’HOSTEUR |
1 | La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé. | Fournir l’énergie, le refroidissement et la connectivité ; sécuriser le site et les salles et monitorer ces éléments. | |
2 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé. | Fournir les machines physiques et le réseau local, réaliser les gestes de proximité, et monitorer ces éléments. Assurer la maîtrise du cycle de vie des supports de stockage et du cycle de vie des données fixées sur le support. Assurer la délivrance de machines fonctionnelles aux clients, et opérer de manière sécurisée leur recyclage. | |
3 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé. | Installer et maintenir à jour l’hyperviseur. Assurer la fourniture et le retrait de puissance de calcul et de stockage à la demande. Monitorer tous ces éléments. | |
4 | La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information. | Demander l’attribution ou le retrait de ressources, affecter les ressources aux machines virtuelles, définir le plan réseau interne au datacenter virtuel, appliquer les mesures de sécurité définies dans la politique de sécurité, installer et maintenir en conditions opérationnelles et de sécurité les plateformes sur les machines virtuelles, monitorer tous ces éléments. | Interventions d’urgence d’HOSTEUR dans les cas de force majeure |
5 | L’administration et l’exploitation du système d’information contenant les données de santé. | ||
6 | La sauvegarde des données de santé. | Appliquer la politique de sauvegarde avec le client de sauvegarde, vérifier la consistance des données sauvegardées, tester et appliquer régulièrement la procédure de restauration, monitorer tous ces éléments. | Fourniture et maintien en condition opérationnelle et sécurisée de l’infrastructure de sauvegarde. Fourniture d’espaces de stockage utilisés pour la sauvegarde. |
Communs | Cette partie regroupe les activités opérationnelles qui doivent être faites pour chacune des 6 activités (activités à faire côté client et côté HOSTEUR) | Préparer et maintenir les PRA/PCA, rédiger les contrats (CSP R1111-11), préparer et mettre à jour les plans de capacité. |
Certification HDS : quels avantages pour nos clients ?
Comme nous l’avons mentionné antérieurement, tous les professionnels de santé sont tenus de choisir un hébergeur certifié HDS. Nous sommes heureux de faire partie de cette liste sélective d’hébergeurs certifiés en France pour pouvoir satisfaire les besoins spécifiques de nos clients travaillant dans le domaine de la santé.
Plus généralement, l’obtention de la certification HDS fait preuve du professionnalisme et de la haute qualité des services offerts par HOSTEUR.
Conformes au Règlement général sur la protection des données, certifiés ISO 27001, ISO 9001 et HDS, nous ne cessons pas de prouver que nous attribuons une grande importance à la protection de vos données personnelles et de celles de vos clients.