07 69 33 80 05 contact@avocat-koc.com

Hébergement des données de santé

Hébergeur de données de santé : Avant le 01/01/2019, la certification de votre activité de stockage des données de santé est obligatoire lorsque leur hébergement est externalisé

Objectif

Assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.

En effet, la certification de l’hébergement doit permettre de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement.

Règlementations

Article L 1111-8 du Code de la santé publique : « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée” (art. L.1111-8 Code de la Santé Publique).

Décret du 26 février 2018 précise les modalités de mise en œuvre.

L’agrément est délivré après instruction (8 mois maximum) d’un dossier remis par le candidat à l’ASIP Santé, s’articulant autour de 6 principaux formulaires détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.

Typologies de certification

3 types de certification :

–      Hébergeur d’infrastructure, incluant la fourniture de l’hébergement physique ainsi que la mise en œuvre des matériels informatiques, leur maintenance, et éventuellement l’activité de sauvegardes externalisées

–      Infogérance d’hébergement, incluant l’activité d’infogérance hors infogérance de l’application métier, et éventuellement l’activité de sauvegardes externalisées

–      Hébergeur de données de santé, regroupant les deux premières certifications.

Le référentiel de certification

La norme ISO 27001 relative au système de gestion de la sécurité des systèmes d’information dont le respect est obligatoire ;

Le respect d’exigences de la norme ISO 20000 relative au système de gestion de la qualité des services;

Le respect d’exigences de la norme ISO 27018 sur la protection des données personnelles et de la norme ISO 27017 plus axée sur les aspects de la sécurité de l’information du cloud computing.

Durée de la certification

Les hébergeurs seraient désormais certifiés pour 3 ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour 5 ans (en France, le COFRAC).

Les hébergeurs ayant déjà obtenu l’agrément HDS (Hébergement de Données de Santé) conservent cet agrément jusqu’à son échéance.

Ce n’est qu’à l’issue de celle-ci qu’ils devront obtenir une certification. Dans les cas où le terme de l’agrément obtenu arrive à échéance dans les douze mois suivants le 1er janvier 2018, celui-ci est prolongé de six mois pour permettre à l’hébergeur d’obtenir un certificat de conformité. Toutes les demandes d’agrément déposées avant le 31 décembre 2017 resteront régies par les dispositions précédant l’ordonnance de 2017.

{

Statement

Si la data est le nouveau pétrole, la confiance est la nouvelle monnaie.

– Lara Smith | Project Manager

A propos

Expert en droit des données, le cabinet de Me. KOC vous accompagne dans vos problématiques touchant à la data protection, à la compliance, à l’e-santé, à l’algorithme, à la blockchain, aux crypto-monnaies… Le cabinet possède aussi une grande expertise en droit du dommage corporel.

Contact

91, rue du Fbg. Saint-Honoré 75008 PARIS

contact@avocat-koc.com

07 69 33 80 05