Certification Hébergeur de Données de santé : par quoi commencer ?

Certification Hébergeur de Données de santé : par quoi commencer ?

L’agrément Hébergeur de Données de santé (HDS) a été remplacé au profit d’une certification, basée notamment sur la norme ISO 27001. Dans leur démarche de certification, beaucoup d’entreprises négligent une étape pourtant essentielle : L’information / la formation.

Rappel sur la certification HDS

Jusqu’en début d’année, l’hébergement de données de Santé nécessitait l’obtention d’un agrément auprès de l’ASIP santé. Depuis lors, la procédure a changé et passe maintenant par une certification Hébergeur de données de Santé (HDS).

Toute entreprise disposant d’un agrément HDS devra donc obtenir une certification HDS pour pouvoir continuer à héberger des données de santé à l’issue de l’expiration de son agrément.

Obtenir la certification HDS nécessite au préalable d’avoir un Système de management de la Sécurité de l’Information (SMSI) certifié IS0 27001 sur un périmètre qui inclut l’hébergement de données de Santé.

Mais avant de vous lancer tête baissée dans le projet de certification, il faut vous informer et informer vos collaborateurs sur les exigences de la norme.

 

S’informer

Allons droit au but : il faut (acheter et) lire la norme ISo 27001.

Cela paraît trivial, mais beaucoup d’entreprises  ne le font pas . La conséquence immédiate est une incompréhension du management et des décisions pas toujours adéquate compte-tenu des exigences de la norme.

 

Informer les collaborateurs

L’un des changements majeurs entre l’agrément HDS et la certification HDS est le niveau d’implication des collaborateurs.

Pour obtenir l’agrément HDS, nul n’était besoin de se faire auditer. La plupart des hébergeurs s’appuyaient sur une équipe interne très réduite et un prestataire pour compléter la documentation d’auto-évaluation à envoyer à l’ASIP.

Ainsi les collaborateurs impliqués dans le fonctionnement du système HDS avaient souvent très peu de connaissances sur les exigences de l’agrément. Dans certains cas la conformité à ces exigences se limitait aux déclarations faites dans le document d’auto-évaluation.

Avec la certification, la bonne mise en oeuvre des mesures est vérifiée : il faut fournir des preuves. Les collaborateurs doivent donc au quotidien appliquer les règles de sécurité et l’entreprise doit pouvoir le démontrer.

Il y a donc très souvent un changement dans les pratiques qui doit s’opérer chez les collaborateurs. Pour que ce changement se fasse, il faut qu’ils comprennent « le pourquoi ». Voici un article pour comprendre les pièges à éviter dans la gestion du changement : https://www.hbrfrance.fr/chroniques-experts/2017/09/16978-gestion-changement-pieges-a-eviter/

Nous en parlons lors de notre webinar du 13 Septembre animé par Dominique Jouniot, auditeur ISO 27001 et (futur)Auditeur HDS et Diane Ouandji, consultante cybersécurité

2018-08-27T11:06:38+02:00