Vous pouvez effectuer votre recherche en saisissant un mot-clé ou en activant les filtres proposés.
🔎N'oubliez pas de sélectionner une offre avant de pouvoir filtrer votre recherche par produit.
234 questions / réponses
234 questions / réponses
L’hébergeur doit renseigner la liste des réglementations extra communautaires auxquelles il est soumis (FISA, Cloud Act, etc.) dans la documentation à fournir à son client.
S’agissant de la transparence (tableau des garanties publiques), il doit indiquer s'il est soumis ou pas un risque d'accès tel qu’évoqué dans la question et citer le pays concerné.
Cette réponse vous a-t-elle été utile ?
Le rôle de l’organisme certificateur (OC) est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer.
En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.
Cette réponse vous a-t-elle été utile ?
Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification) :
- La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
- La sécurisation de la procédure d’accès ;
- La collecte et la conservation des traces des accès effectués et de leurs motifs ;
- La validation préalable des interventions (plan d’intervention, processus d’intervention).
Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés.
Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.
Cette réponse vous a-t-elle été utile ?
Une période de transition, calculée à compter de la date de publication de l’arrêté du 26/04/2024, a été fixée à 6 mois (soit le 16/11/2024) pour les organismes de certification et à 24 mois pour les hébergeurs déjà certifiés (soit le 16/05/2026).
Pour plus d'information, veuillez consulter la note de transition détaillée publiée sur le site du COFRAC :
https://www.cofrac.fr/actualites/actualites-et-evenements/certification-des-hebergeurs-de-donnees-de-sante-hds-transition-vers-la-version-2-des-referentiels
Cette réponse vous a-t-elle été utile ?
Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :
- l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
- le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».
Cette réponse vous a-t-elle été utile ?
Les modalités sont définies dans les référentiels d’accréditation et de certification HDS. Ces deux documents sont téléchargeables sur le site de l’ANS.
Cette réponse vous a-t-elle été utile ?
Il n’y a pas d’obligation de recourir au même organisme de certification qui a délivré la certification ISO 27001.
Pour obtenir la certification HDS, un hébergeur peut recourir au même organisme de certification qui lui a délivré sa certification ISO 27001, si ce dernier est accrédité HDS ou à un autre organisme de certification accrédité HDS.
Pour se prévaloir d’une certification ISO 27001 déjà obtenue, la certification doit respecter les conditions d’équivalence du certificat précisées dans le référentiel d’accréditation HDS et notamment celles relatives au périmètre d’application de la certification déjà obtenue : cette dernière doit inclure le périmètre pour lequel le candidat demande une certification HDS.
Cette réponse vous a-t-elle été utile ?
Oui, un hébergeur de données de santé doit être certifié sur toutes les activités concernées par son offre, y compris les activités partiellement ou entièrement sous-traitées.
Cette réponse vous a-t-elle été utile ?
L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime. Il appartient à l'hébergeur de déterminer avec son client dans le contrat HDS les modalités de délivrance de cette information.
Cette réponse vous a-t-elle été utile ?
Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».
Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »
Cette réponse vous a-t-elle été utile ?
Retrouvez les informations dans votre espace dédié
-
Professionnel et structure libérale
-
Etablissement de santé
-
Structure médico-sociale
-
Entreprise du numérique en santé
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Besoin d’aller plus loin dans vos démarches ?
Centralisez vos démarches, suivez vos demandes et accédez à l’ensemble de vos services ANS depuis votre Espace Authentifié :
Vous souhaitez nous contacter ?
Notre équipe est à votre écoute pour vous assister dans vos démarches.
