Certification des hébergeurs de données de santé

Hébergeurs de données de santé | 08 févr. 2018

 

La procédure de certification 

 
La procédure de certification repose sur une évaluation de conformité au référentiel de certification.
 
L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).
L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur.
  • Étape 1 : audit documentaire. L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.
  • Étape 2 : audit sur site. Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.
L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée.
 
Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.
 

 

Deux périmètres de certification 

Deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :
  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle 
Prestation d’hébergeurs d’infrastructure physique
1. Mise à disposition ou maintien en condition opérationnelle de locaux permettant d’héberger l’infrastructure matérielle du système d’information de santé
2. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure matérielle du système d’information de santé
 
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée
Prestation d’hébergeur infogéreur
3. Mise à disposition ou maintien en condition opérationnelle de la plateforme logicielle (système d’exploitation, middleware, base de données, etc.) du système d’information de santé
4. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
5. Infogérance d’exploitation du système d’information de santé
6. Sauvegardes externalisées des données de santé

Note : si l’activité de l’hébergeur s’inscrit dans les deux types d’activité, l’hébergeur doit obtenir les deux certifications.


 

Historique de l’élaboration de la procédure de certification

Les objectifs et modalités de mise en œuvre de la procédure de certification ont été élaborés par l’ASIP Santé et la DSSIS en concertation avec la communauté d’institutionnels et d’industriels référente.
  • concertation autour du décret HDS : avril/mai 2017 ;
  • présentation de l’évolution de la procédure au salon HIT : mai 2017 ;
  • notification à la commission européenne : juillet 2017 ; 
  • publication du référentiel de certification et d’accréditation sur le site e-sante.gouv.fr : novembre 2017.