Vous êtes professionnels de santé, vous avez déjà entendu parler de certification HDS mais vous vous posez encore de nombreuses questions : cet article est fait pour vous !

ANS

Le HDS c'est quoi ?


HDS signifie « Hébergeur de Données de Santé ». La certification « HDS » concerne ainsi l’hébergement de données de santé à caractère personnel tel que défini par la CNIL.

Quelles sont les obligations en termes d'hébergement de données de santé depuis 2018 ?

Si vous hébergez tous vos fichiers dans votre cabinet, vous n’êtes pas concernés par la certification HDS. Une telle démarche ne vous protège cependant pas en cas d'avarie de matériel : une sauvegarde à minima à distance est fortement conseillée afin de vous prémunir de ce type d'imprévu. Vous restez toutefois responsable de la sécurisation de ces fichiers stockés dans vos locaux. Nous vous conseillons à ce propos la lecture du guide de la sécurité des données personnelles publié par la CNIL.

A contrario, si vous hébergez vos fichiers à distance, vous êtes responsable de vérifier que votre prestataire est bien certifié HDS (appelé agrément HDS avant juin 2018), ou qu'il travaille avec un partenaire hébergeur certifié HDS. Les prestataires concernés peuvent être aussi variés que ceux pour la télétransmission (si tout ou partie des données sont stockées en ligne), ceux pour la prise des RDV médicaux, ceux pour la sauvegarde ou synchronisation de vos fichiers patients (s'ils contiennent des informations de santé) ou même les solutions en ligne SAAS dédiées à votre spécialité médicale.

ANS

Qui peut obtenir une certification HDS ?


L’hébergement de données de santé à caractère personnel est soumis à une certification HDS prévue par le décret n°2018-137 du 26 février 2018. Toute entreprise souhaitant obtenir la certification HDS doit remplir les conditions référentiel de certification publié par l’ANS. Ce référentiel s’appuie sur des normes internationales très strictes que sont ISO 27001 « système de gestion de la sécurité des systèmes d’information » et ISO 20000 « système de gestion de la qualité des services » auxquelles viennent s’ajouter des exigences spécifiques à l’hébergement de données de santé (comme la redondance d'infrastructures sur des lieux géographiquement éloignés).

Comment obtenir une certification HDS ?

Pour obtenir la certification HDS, l’entreprise doit se soumettre à un audit auprès d’un organisme agréé par la COFRAC comprenant une étude documentaire et une visite sur site. Le certificat est délivré pour une durée de 3 ans. La liste des hébergeurs certifiés HDS est disponible ici.

Medical Cloud répond bien sûr à cette exigence du fait de son hébergement chez AZNetwork, partenaire certifié HDS.

ANS

Un petit mot sur le Cloud Act


Le Cloud Act est une loi américaine de 2018 permettant aux autorités américaines de contraindre les sociétés de droit américain à fournir les données stockées sur leurs datacenters, y compris ceux situés à l’étranger, en cas de mandat ou d’assignation en justice. Cette mesure est d'autant plus impactante puisqu'aucune commission rogatoire n'est nécessaire pour les autorités américaines, qui n'ont d'ailleurs aucune obligation d'en informer les propriétaires des données, les prestataires ou même les patients.

Au-delà de la certification HDS, il apparaît donc qu’une attention particulière doit être portée sur la nationalité des hébergeurs que vous choisissez pour vos prestataires. Un hébergeur européen, idéalement français, est donc plus adapté pour assurer la confidentialité totale des données de santé.

En 2020 et 2021, la CNIL s'est ainsi clairement positionnée en qualifiant non adaptée l'hébergement de données de santé de citoyens européens par des sociétés de droits américains même si elles disposaient d'une certification HDS (ex : Microsoft, Google, Amazon).

Pourquoi choisir Medical Cloud pour vos données de santé ?

Chez Medical Cloud nous avons fait le choix d’un hébergeur français (AZNetwork) : tous vos fichiers déposés sur Medical Cloud sont donc 100% hébergés en France.

ANS

Attention à vos mails, agendas et messageries instantanées


Trop souvent, nous constatons que des professionnels de santé utilisent les services mails ou de messageries (ex : Gmail, Hotmail, WhatsApp, Messenger, ou même SMS) pour communiquer avec des confrères ou des patients.

Demandez-vous si ces mails contiennent des données personnelles de santé directement dans le message ou en pièce-jointe ? Si oui, où ces informations se retrouvent-elles stockées ? Très certainement sur des hébergements non certifiés HDS.

Pour communiquer entre professions médicales il existe la MSSanté. A défaut, ou simplement pour échanger des documents avec des patients ne pouvant disposer d'une adresse email MSSanté, vous pouvez utiliser Medical Cloud pour envoyer / recevoir des données de santé via un lien sécurisé par un mot de passe, sans avoir à afficher en clair l'information médicale dans le corps de mail ou via la pièce jointe. Dans le cas contraire, ces données seraient alors stockées dans votre boite email et celui de votre destinataire, et potentiellement consultables par les employés de vos fournisseurs de mails.

La problématique est la même pour un agenda en ligne qui contiendrait le nom d’un patient et le type d’examen, ou encore pour des échanges d’avis via messagerie instantanée sur une application mobile.