Reconnaître simplement le logo « Hébergeur de Données de Santé » sur un support de communication ne garantit pas que le fournisseur soit conforme aux exigences de sécurité pour vos données médicales.
Disposer d’un service certifié HDS est obligatoire pour les acteurs de la santé. Cette certification démontre son aptitude à vous protéger contre les intrusions, pertes ou altérations de données. Elle concerne les data centers, les serveurs, et toutes les solutions numériques gérant le stockage et le traitement des fichiers médicaux.
Il est de votre ressort de choisir un service certifié auprès de votre fournisseur. Il est d’autant plus essentiel de vérifier les informations stipulées sur votre contrat. Celui-ci doit préciser que l’offre est certifiée HDS et conforme pour le traitement de données de santé. En effet, le fait qu’une organisation soit certifiée HDS n’implique pas que tous ses services le soient.
Pour vérifier la certification Hébergeur de Données de Santé d’un service, vous pouvez :
Demander le certificat HDS au fournisseur
Le certificat détaille les périmètres couverts. Il confirme également que l’organisme détient la certification pour les niveaux d’activité définis par la norme HDS :
- Hébergement physique des serveurs
- Infrastructure matérielle
- Plateforme d’hébergement d’applications
- Infrastructure virtuelle
- Sauvegarde des données
- Administration et l’exploitation du système d’information.
L’organisme ayant réalisé l’audit de certification le délivre au fournisseur au format PDF.
Consulter la liste officielle des services certifiés HDS
Le site de l’Agence du Numérique en Santé met à disposition la liste regroupant les organisations certifiées. De plus, elle détermine les niveaux de certification de chaque société, qu’il s’agisse d’hébergement d’infrastructure ou d’infogérance. Votre fournisseur doit se trouver dans cette liste.
Pourquoi est-ce crucial ?
Non seulement pour garantir à vos patients la protection de leurs données personnelles, mais surtout pour respecter la réglementation en vigueur.
En cas de non-conformité pour le traitement de données de santé, vous risquez une sanction. Il s’agit d’un délit pouvant aller jusqu’à 3 ans d’emprisonnement et 225 000€ d’amende. En 2020, la CNIL a condamné deux radiologues à des amendes administratives de 3000 € et 6000 €. Ils n’avaient pas suffisamment protégé les données personnelles de leurs patients et n’ont pas notifié la violation des données.
Selon un article de l’assurance des médecins Branchet « les médecins avaient mal configuré leur box Internet et mal paramétré leur logiciel d’imagerie médicale. Des milliers d’images médicales hébergées sur des serveurs leur appartenant étaient librement accessibles sur Internet car celles-ci n’étaient pas systématiquement chiffrées ».
La certification HDS d’un service n’est pas un simple argument marketing. D’autant plus quand les cyberattaques deviennent une menace croissante pour tous les acteurs de la santé.
Certifiés HDS depuis 2019, NetExplorer accompagne tous les professionnels de la santé dans le stockage et le partage des données confidentielles de leurs patients.