Le référentiel HDS encadre l'hébergement des données de santé à caractère personnel en France. Il est obligatoire pour toute structure qui héberge ces données pour le compte d'un tiers (article L1111-8 du code de la santé publique). La certification est gérée par l'Agence du numérique en santé (ANS).
Hébergeurs cloud (IaaS, PaaS, SaaS) qui stockent des données de santé pour le compte de structures de santé. Les structures de santé qui hébergent leurs propres données ne sont pas concernées par la certification HDS, mais leurs prestataires le sont.
6 activités sont définies : hébergement physique, virtuel, infogérance, sauvegarde, restauration, mise à disposition d'infrastructure. Vous certifiez les activités correspondantes à votre offre, pas l'ensemble.
HDS s'appuie sur ISO 27001 + ISO 20000-1 + des exigences spécifiques santé. La certification HDS implique de fait la conformité à ces deux normes ISO. Le référentiel ajoute environ 20 exigences spécifiques (localisation données, contrats, traçabilité accès, fin de contrat).
Le secteur santé est explicitement listé dans NIS2 (annexe I). Les hébergeurs HDS de structures santé sont quasi systématiquement concernés NIS2 par chaîne d'approvisionnement. Heureusement, la conformité HDS couvre déjà 90% des exigences NIS2.
Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.