S’agissant des documents professionnels, les données de santé sont très sensibles. Des lois sont régies par rapport à l’accès de ces données afin de protéger les personnes concernées. C’est pour cette raison que l’hébergement données santé doit être fait sous une grande précaution. En effet, des règlements ont été mis en place pour administrer les hébergeurs de données de santé. Pour vous informer, ce présent article évoque les obligations de ces hébergeurs de données de santé.
Qu’est-ce qu’un hébergeur de données de santé ?
Un hébergeur de données de santé est une entité chargée de conserver des informations personnelles relatives à la santé physique ou mentale d’une personne. Ces données à caractère personnelles sont généralement recueillies et collectées durant les activités de suivi médical, la prestation de soin, le diagnostic d’un patient… En effet, il existe deux types d’hébergeurs : les hébergeurs qui sont responsables de l’infogérance et les hébergeurs qui gèrent les structures physiques.
Quelles sont les conditions qui réglementent un hébergeur ?
Tout comme les autres dispositifs informatiques, il existe des conditions dictant le fonctionnement d’un hébergeur.
Hébergeur certifié et agréé
Toutes agences chargées d’héberger des données à caractère personnelles sont soumises à des règlements. Effectivement, la loi portant le Code de la santé publique, notamment l’article L.1111-8, affirme que ces hébergeurs doivent être agréés et certifiés pour pouvoir mener à bien leur activité. Actuellement, cette certification peut être remplacée par un agrément délivré par le ministère de la Santé sous des conditions définies par la loi n°2006-6 du 4 janvier 2006. La relation entre l’hébergeur de données de santé et le responsable de traitement doit être faite sous un contrat écrit.
Procédure de certification
C’est le décret n° 2018-137 du 26 février 2018 qui définit les procédures et les démarches de certification et d’agrément HDS. Pour ce faire, l’organisme responsable de ce déroulement procède à un audit en deux étapes :
• un audit documentaire qui consiste à évaluer la conformité du système d’information par rapport aux exigences de la référence de certification ;
• un audit su site responsable de la récupération de la preuve d’audit.
Quelles sont les missions d’un hébergeur de santé ?
En tant que conservateur de donnée personnelle, un hébergeur est en charge de plusieurs services.
Pendant l’hébergement
Tout au long du contrat, l’hébergeur ne doit traiter les données qu’en suivant les instructions écrites prodiguées par le responsable du traitement. Stipulés dans le contrat, ses engagements consistent à :
• gérer et exploiter le système d’information dans lequel s’inscrivent les données de santé ;
• de prendre des mesures assez rigoureuses pour la sauvegarde des données de santé ;
• de mettre à disposition le logiciel du système d’information.
Quand l’hébergement arrive à son terme
La fin de l’hébergement sous-entend également la fin du contrat. À ce stade, l’hébergeur de données de santé doit remettre les données au responsable du traitement. Afin d’éviter qu’il ne partage pas à nouveau ces données à d’autres gens malveillants, l’hébergeur doit impérativement supprimer l’ensemble de toutes les sauvegardes et archives contenant l’ensemble des informations