Reader TTS

QUELLES UTILISATIONS ? > Toute personne physique ou morale qui héberge des données de > santé à caractère personnel recueillies à l’occasion > d’activités de prévention, de 

diagnostic, de soins ou de suivi > médico-social pour le compte de personnes physiques ou morales à > l'origine de la production ou du recueil de ces données ou pour le > 

compte du patient lui-même, doit être agréée ou certifiée à > cet effet. _L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016_ Tous les organismes

publics ou privés qui hébergent, exploitent le SI de santé, ou réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé doivent être certifiés HDS. à

l’exception des services d'archivages informatiques qui ne sont pas concernés par ces obligations. Les établissements de santé qui gèrent leur propre Système d’Information de santé

n’ont pas la nécessité d’être certifié HDS. LA CERTIFICATION HDS DONNE LIEU À L’OBTENTION DE DEUX TYPES DE CERTIFICATS : * LA CERTIFICATION « HÉBERGEUR D’INFRASTRUCTURE PHYSIQUE  » : * la

mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé * la mise à disposition, le

maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé * LA

CERTIFICATION « HÉBERGEURS INFOGÉREURS » : * la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé * la mise à

disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information * l’administration et l’exploitation du système d’information

contenant les données de santé * la sauvegarde externalisée des données de santé Cette certification vient remplacer l'obtention de l’agrément autrefois nécessaire. Les renouvellements

d’agréments sont aujourd’hui soumis à la procédure de certification. Le décret 2018-137 du 26 février 2018 définit la marche à suivre et organise la transition entre l’agrément et le

certificat HDS. L'arrêté du 26 avril 2024 modifiant l'arrêté publié le 29 Juin 2018 approuve la mise en application des référentiels d'accréditation et de certification. Il

permet d’ouvrir le schéma d'accréditation HDS. Les candidats hébergeurs doivent déposer leur demande de certificat auprès du Comité français d’accréditation (Cofrac), instance unique

d’accréditation au niveau national. LA PROCÉDURE DE CERTIFICATION HDS La procédure de certification repose sur une évaluation de conformité au référentiel de certification. L’hébergeur

choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen). L’organisme procède à un audit en deux étapes pour évaluer la conformité de

l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur. ÉTAPE 1 :

AUDIT DOCUMENTAIRE L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux

exigences du référentiel de certification. ÉTAPE 2 : AUDIT SUR SITE Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation. L’hébergeur dispose

de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la

procédure d’audit sur site sera de nouveau réalisée. LE CERTIFICAT EST DÉLIVRÉ POUR UNE DURÉE DE TROIS ANS, PAR L’ORGANISME CERTIFICATEUR ET CHAQUE ANNÉE, UN AUDIT DE SURVEILLANCE EST

EFFECTUÉ.