L’activité d’hébergement de données de santé à caractère personnel sur support numérique consiste à exercer pour le compte d’un tiers (responsable de traitement, patient, etc.) tout ou partie des activités suivantes :
Il existe deux types de certifications, Hébergeur infogéreur et Hébergeur d’infrastructure physique qui se définissent en fonction du type d’activités rentrant dans le périmètre de certification, l’ASIP les a définis de cette manière :
Si le périmètre pour lequel l’hébergeur souhaite obtenir la certification comprend au moins une activité appartenant aux deux périmètres de certification, l’hébergeur est évalué pour la conformité à toutes les exigences et obtient les deux certifications.
La certification est basée sur la norme ISO 27001v2013, et complétant l’annexe A de celle-ci par les exigences issues des normes ISO 20000v2011, 27017v2015, 27018v2014 et spécifiques santé.
4 exigences issues de l’ISO 20000
25 exigences issues de l’ISO 27018
1 exigences issues de l’ISO 27017
11 exigences renforçant des exigences existantes (27001, 20000, 27018 et 27017)
4 exigences dédiées santé sur le recueil d’un engagement client sur la conformité à la PGSSI (Politique générale de sécurité des systèmes d’information de santé), la mise à disposition des rapports d’audit de certification aux clients, l’identification d’un point de contact chez le client et la prise en compte de la langue française.
Pour obtenir la certification Hébergeur d’infrastructure physique il faut répondre à 40 exigences sur les 45 exigences et pour obtenir la certification Hébergeur infogérant il faut répondre à l’ensemble des 45 exigences.
Un hébergeur qui a déjà obtenu une certification ISO 27001 ou une certification ISO 20000-1 peut faire prévaloir ces certifications s’il remplit un certain nombre de conditions.
Sources :
esante.gouv.fr
Référentiel de certification HDS – ASIP