DE L'AGRÉMENT HADS VERS LA CERTIFICATION HDS
Explications recueillies auprès de Rémi GRIVEL, Directeur général de SynAApS, à l'occasion du Cloud Event SynAApS 2018.
LA CERTIFICATION VS. L'AGRÉMENT : QUELLES DIFFÉRENCES ?
"La certification HDS renforce encore les garanties en matière de sécurisation des données de santé. Elle rejoint les plus hauts standards de sécurité déjà dictés par la certification ISO 27001:2013, en imposant l'obtention préalable de cette certification, qui est autrement plus exigeante que l'agrément HADS - à ce titre, la plupart des hébergeurs agréés HADS ne sont pas certifiés ISO 27001:2013, contrairement à SynAApS. La certification HDS astreint par ailleurs les hébergeurs à un double audit documentaire et sur site, avec renouvellement de l'audit chaque année, là où l'agrément était fondé sur une simple base déclarative.
Il faut également savoir que le report contractuel sur les clients ou partenaires n'est plus autorisé dans le cadre de la certification HDS. Cela signifie qu'un hébergeur de santé ne peut plus s'appuyer sur un périmètre de certification restreint, pour ne pas dire anecdotique, pour prétendre au droit à l'hébergement de données de santé ... en reportant certaines exigences SMSI sur ses fournisseurs ou ses clients. Enfin, dernier point important, la certification HDS est une norme internationale, contrairement à l'agrément HADS. Cela constitue une excellente nouvelle qui va dans le sens de l'harmonisation des bonnes pratiques en matière de SMSI de santé."
LA CERTIFICATION : QUELS PÉRIMÈTRES ?
"La certification HDS prévoit deux niveaux de certificat et six périmètres de certification pour favoriser une meilleure lisibilité du marché des hébergeurs de données de santé. Le premier niveau est le certificat d'hébergeur d'infrastructure physique, avec deux périmètres de certification : sites physiques et serveurs physiques. Le second niveau est le certificat d'hébergeur-infogéreur, qui inclut quatre périmètres de certification : plateformes d'hébergement, infrastructures virtuelles, infogérance, sauvegardes.
En tant qu'hébergeur déjà certifié ISO 27001:2013 et agréé HADS, nous avons naturellement opté pour la certification sur les deux niveaux et les six périmètres de certification. PaaS - IaaS, Housing, Infogérance, services PRA et PCA, etc. : outre notre infrastructure, l'intégralité de nos offres sont certifiées HDS, conformément à notre stratégie Qualité globale."
LA TRANSITION VERS LA CERTIFICATION : COMMENT ?
"Les dossiers déposés avant le 31 mars 2018 restent instruits selon la procédure d’agrément ; ceux déposés après le 31 mars 2018 sont instruits selon la procédure de certification. Nous avons saisi l'opportunité de cumuler les deux régimes pour faire renouveler notre agrément HADS tout en obtenant la certification HDS de notre infrastructure et de nos offres. Cette démarche nous permet d'avoir le double statut d'hébergeur agréé et certifié Santé le temps que nos clients et partenaires puissent eux-mêmes évoluer à leur rythme vers la certification HDS."
Rémi GRIVEL,
Directeur général de SynAApS