Paroles d'expert
Alexandre Rendour
Responsable Sécurité des Systèmes d'Information chez Blue
- Qu'est-ce que la certification HDS ?
C’est l’hébergement des données de santé des patients, c’est-à-dire de toute personne qui réaliserait un acte médical (exemples : résultats de prise de sang, de radiologie, de biopsie etc.). Elles font partie des données dites « sensibles » à cause de leur degré de confidentialité.
- Qui est concerné, qui est au contact de ces données ?
En réalité il y a 3 principales catégories de personnes : le patient, le médecin (plus généralement le corps médical) et le l’hébergeur.
Le patient, car ce sont ses données. Les informations émanent de lui, de son état de santé.
Le praticien (docteur, pharmacien, secrétaire médicale…), car il va avoir un accès direct de consultation, traitement, modifications.
L’hébergeur et/ou l’éditeur de logiciel, il va stocker les données et s’assurer de leur sécurité.
- Qu’est-ce qu’elle apporte à ceux qui la détiennent ?
La certification HDS permet d’apporter une certaine confiance aux utilisateurs finaux sur l’hébergement et la gestion de leurs données à caractère personnel.
Elle donne de la légitimité à l’hébergeur car elle prouve qu’il y a un ensemble de règles et de procédures qui sont respectées et conformes. Le niveau d’expertise est présent, la sécurité est accrue, et cette reconnaissance permet de l’officialiser. Il est difficile de trouver un lieu plus sûr pour stocker des données que chez un hébergeur certifié.
- Comment les données sont sécurisées au sein d’un hébergeur certifié ?
Si l’on prend l’exemple de Blue, l’accès à l’administration des plateformes se fait par l’intermédiaire d’un bastion* qui enregistre toutes les actions effectuées sur les données. De plus, les sauvegardes sont réalisées sur un site distant.
Tout un processus projet a été défini pour intégrer la sécurité des données du patient de la prise de commande à la mise en place de la plateforme du client (de A à Z).
Enfin, des audits réguliers sont réalisés sur les plateformes pour s’assurer de la conformité et de la sécurité de nos solutions.
- Quelles sont les dernières réglementations ?
Une concertation est en cours pour faire évoluer la certification HDS en version 2.
Une grosse partie du changement sera réalisée sur l’activité 5 (partie « administration des systèmes »).
De nombreux acteurs du domaine de la Santé se posent des questions sur le besoin d’être certifié : l’évolution de la norme devrait répondre à cette question.
Exemple : un éditeur de logiciel de Santé en mode SAAS doit-il être certifié HDS ?
* Un bastion informatique : il permet de fournir un point d'entrée unique pour effectuer l'administration d'une plateforme informatique. Cela permet d'avoir une visibilité sur : qui a accès à quoi, quand, quelles actions ont été réalisées
