Publié le 21 juillet 2022, mis à jour le 23 janvier 2024.
Vous travaillez dans le monde de la santé ? Vous avez donc déjà entendu parler de HDS. Qu’est-ce que HDS (Hébergeur de Données de Santé) ? Êtes-vous concernés par cette norme ? Je vous explique en moins de 5 minutes en quoi cette norme, qui est une "surcouche" de la norme 27001, consiste et comment être certifié, comme nous l'avons été chez Padok.
HDS & 27001.
La norme HDS est une surcouche de la norme 27001. Ainsi, il est en conséquence nécessaire d’avoir la norme 27001 pour pouvoir être certifié HDS.
Puisqu’un “schéma vaut mille mots” :
La norme 27001 est un ensemble de législations. Afin d’être certifié 27001 il vous sera nécessaire de valider chaque prérequis de ces législations.
La norme 27001 est une norme internationale de sécurité des systèmes d'information. Vous devez respecter les législations de celle-ci afin d’être certifié 27001 par un organisme externe, tel que BSI, qui vous demandera des preuves.
Vient ensuite la norme HDS. Celle-ci est principalement contractuelle. Ainsi, elle définit des engagements que vous devez prendre avec vos clients et autres.
Ne vous détrompez pas, ce n’est pas si facile. Vous devez avoir des procédures et beaucoup de preuves afin de pouvoir être certifié HDS. Par exemple, vous devez avoir une déchiqueteuse sur le bureau admin afin de détruire les documents ; vous devez avoir un processus d’onboarding et d’offboarding ; une politique de sécurité; un processus de gestion des incidents…
Qui est concerné par la norme HDS ?
« Sont concernés tout professionnels de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) qui produisent les données susmentionnées dans le cadre de leurs activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. »
En résumé : vous hébergez de la donnée considérée comme de la donnée de santé ? Vous êtes donc concerné. Plus d’info sur le site Santé du gouvernement.
Cependant, il y a quelques exceptions pour les associations sportives qui proposent des activités à des personnes handicapées, par exemple.
HDS — Les niveaux
Lorsque vous vous faites certifier pour la norme HDS, vous pouvez choisir sur quel niveau vous voulez être évalué. Ainsi, vous entendrez souvent parler de six niveaux HDS.
Hébergeur d’infrastructure physique : Niveaux 1 et 2
Les niveaux 1 et 2 de la norme HDS sont nécessaires si vous possédez des serveurs que vous encadrez.
Les descriptions officielles de l’état sont :
- la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour traiter de la donnée de santé
- la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour traiter les données de santé
Ainsi, si vous voulez héberger vos propres serveurs et ne pas partir dans le cloud avec AWS, GCP, Azure, vous serez en conséquence obligé de vous faire certifier niveau 1 ou 2.
Hébergeur Infogéreur : Niveaux 3 à 6
Les niveaux 3, 4, 5 et 6 sont les niveaux qui encadrent les environnements applicatifs.
Les descriptions officielles de l’état :
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
- la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
- l’administration et l’exploitation du système d’information contenant les données de santé
- la sauvegarde externalisée des données de santé
En résumé :
- Audit - des applications et des accès
- Infogérance - Garantir la stabilité de la plateforme et de son accessibilité
- Cybersécurité - Garantir la sécurité des données
- Backup - Garantir la rétention des données
Vous pouvez retrouver sur ce site les entreprises certifiées et leurs niveaux de certifications.
Certifications des Cloud Providers
Prenons, par exemple, AWS. Ce cloud provider est certifié 1 à 6. Cependant, tous les services du cloud provider ne respectent pas les critères et ne sont donc pas utilisables pour les données de santé. Amazon ne propose pas d’infogérance – niveau 5 - entre autres malgré sa certification (ils ne proposent pas ce service aujourd’hui). Amazon Web Services sont néanmoins certifiés niveau 1 et 2 sur l’intégralité de ses services.
Dans ce schéma ci-dessus :
- En jaune : les niveaux dans lesquels AWS est certifié
- En vert : les niveaux dans lesquels Padok et AWS sont certifiés
- En violet : les niveaux dans lesquels Padok est certifié (AWS aussi mais ne propose pas le service)
II n’est pas aujourd’hui possible d’héberger une application avec des données de santé sur un cloud provider sans recourir à une entreprise certifié HDS niveau 3 à 6 tels que Padok.
Comment être certifié HDS ?
Le processus de certification s'avère assez long. Vous devez passer deux audit : 27001 puis HDS.
Afin de passer un la certification HDS, vous devez tout être en adéquation avec la norme 27001, vous faire auditer et ensuite être en conformité avec la norme HDS.
Combien de temps cela prend-il ? En général, une entreprise met 1 à 2 ans à passer l’une des certifications. Cela est long, car vous devez instaurer dans votre entreprise des pratiques qui respectent les normes.
Chez Padok, nous avons mis 6 mois à avoir la certification 27001 et HDS, cependant nous sommes passés d’une culture orale à une culture écrite. Nous avions déjà la majorité des obligations 27001 intégrées dans notre culture d’entreprise grâce à la maturité du groupe auquel nous faisons partie (M33 - Groupe Theodo).
Comment être conforme à la norme HDS ?
Vous devez passer par un organisme externe certifié HDS si vous ne l’êtes pas. Chez Padok, nous avons créé un système qui permet à nos clients de comprendre la norme HDS et les réglementations sous-jacentes.
Prenons, par exemple, ce flux pour que nos clients soient en conformité HDS.
Nous avons, chez Padok, créé un Framework “YAMAS” (Santé en grec) qui :
- Synthétise la norme HDS en critères compréhensible
- Pour chaque législation, il explique ce qui est attendu comme preuve et quels sont les standards à suivre.
Certains critères ont été floutés pour des raisons consurrentielles
Cela nous permet d’accompagner nos clients avec le plus de transparence possible et dans sa compréhension de la norme HDS en divisant HDS en neuf grands critères. Nos clients connaissent donc en amont les 133 critères sur lesquels nous allons les auditer pour vérifier leur conformité HDS.
Afin de certifier potentiellement la conformité HDS de notre client, il est nécessaire que celui-ci respecte l’intégralité de nos critères. Grâce à notre framework YAMAS, nos clients savent en amont quelles sont nos exigences.
La majorité des acteurs du marché sont plutôt opaques quant à leur interprétation de la norme HDS. Chez Padok, nous avons pris le choix de la transparence afin de pouvoir accompagner et accélérer l’innovation chez nos clients tout en étant conforme.
Nos clients peuvent donc intégrer dès la phase de conception les réglementations HDS et ainsi ne pas être bloqués par la norme HDS en fin de développement, car ils ne respectent pas celle-ci. Réduisant par conséquent le “mean time to production” et améliorant la qualité des applications et infrastructures qu’ils déploient.
S’impliquer avec les leaders de la santé pour accélérer le produit tout en maîtrisant les réglementations et la qualité
J’espère que vous avez réalisé ce qu’est la norme HDS, ou en tout cas avez compris ses enjeux. Cette norme est difficile à maitriser. C’est pourquoi, chez Padok, nous travaillons en collaboration et transparence avec nos clients afin que celle-ci soit un moteur de qualité et non un frein réglementaire !
N’hésitez pas à me contacter sur LinkedIn si vous avez des questions ou à contacter directement Padok.
YAMAS !