L’hébergement des données de santé est soumis à un ensemble de règles strictes visant à préserver la confidentialité et l’intégrité des données recueillies auprès des différents intervenants et notamment des patients.
L’Hébergement de données de santé à caractère personnel
A ce titre la solution de sauvegarde NeoBe Santé intègre les contraintes relatives à ce type de données. En effet NeoBe Santé applique les conditions contractuelles imposées au traitement des données de santé. Les données sont sauvegardées sur des serveurs agrées HDS (Hébergeur de Santé) en France métropolitaine.
NeoBe Santé s’appuie sur l’offre d’hébergement dédiée au domaine médical agrée par l’ASIP Santé.
La procédure d’agrément des hébergeurs de données de santé
La procédure d’agrément des hébergeurs de données de santé à caractère personnel a été remaniée par la loi de modernisation du système de santé du 26 janvier 2016 au bénéfice d’une procédure de certification (la loi de modernisation de notre système de santé n°2016-41 a été promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016).
Pilotée par l’ASIP Santé, elle s’impose dans plusieurs conditions. « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée » (art. L.1111-8 Code de la Santé Publique).
La réglementation ASIP Santé
Selon l’interprétation pragmatique de l’ASIP Santé, la réglementation (art. L1111-8 et R1111-9 à 14 CSP) s’applique à tout responsable de traitement, au sens de la loi Informatique et libertés n°78-17 du 6-1-1978 qui externalise l’hébergement des données de santé à caractère personnel qu’il traite, incluant notamment les mutuelles et assurances. L’agrément est délivré après instruction (8 mois maximum) d’un dossier remis par le candidat à l’ASIP Santé, s’articulant autour de 6 principaux formulaires détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.
D’après l’ASIP Santé, le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.
Évolution de l’agrément HDS en Certification
La procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite « loi Kouchner ». Elle vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.
A l’initiative des pouvoirs publics et d’ici le 1er avril 2020 l’« agrément HDS » sera remplacé par une « certification », s’appuyant sur la détention d’une double certification ISO27001/HDS et ne visant plus seulement l’hébergeur, mais également l’infogéreur que nous sommes dans le cadre d’un produit de sauvegarde tel que NeoBe-santé.
Cette évolution est décrite dans le nouveau référentiel de certification HDS : https://esante.gouv.fr/services/certification-des-hebergeurs-de-donnees-de-sante.
DropCloud Santé : certifiée ISO27001 HDS
Le 4 Décembre 2019 l’AFNOR (Agence française de normalisation) a délivré la certification ISO27001 HDS à DropCloud.
Cette certification reconnaît la qualité et la sécurité de ses solutions logicielles pour le traitement des données médicales. Via ses logiciels de transfert, de partage et de sauvegarde en ligne de données, DropCloud a développé une offre complète à destination des acteurs du monde médical. Car, ces derniers ont le besoin impératif de gérer facilement et sereinement les informations personnelles qu’ils recueillent.
