Eine überarbeitete Version des Referenzrahmens für Gesundheitsdaten-Hosting (Health Data Hosting, HDS) wurde von der Agence du Numérique en Santé (ANS) erstellt und wird derzeit von der Europäischen Kommission geprüft. Das neue HDS soll bis zum Sommer 2024 in Kraft treten.
Die HDS-Zertifizierung soll den Schutz der Gesundheitsdaten der Franzosen stärken und ein vertrauenswürdiges Umfeld für eHealth und Patientenüberwachung schaffen. Die Zertifizierung richtet sich an alle öffentlichen oder privaten Einrichtungen, die Gesundheitsdaten beherbergen, betreiben oder sichern. Angesichts der zunehmenden Bedrohung durch Cyberangriffe hat die NSA 2023 eine Neufassung des HDS-Referenzrahmens in Auftrag gegeben, wobei sie sich an Nutzer und Anbieter von Diensten wandte. Der neue Text führt anspruchsvollere Kriterien für Souveränität und Transparenz ein.
| Die Neuheiten | Welche Auswirkungen hat dies auf die Unterbringung von Gesundheitsdaten? |
|---|---|
| Europäische Lokalisierung | Die Daten müssen auf dem Hoheitsgebiet eines Staates des Europäischen Wirtschaftsraums gespeichert werden. Organisationen, die Gesundheitsdaten verarbeiten, und/oder ihr Hosting-Anbieter müssen daher sicherstellen, dass sie diese neue Anforderung erfüllen. Ist dies nicht der Fall, muss ein Wechsel des Angebots oder des Cloud-Anbieters in Betracht gezogen werden. |
| Weiterleitung und Fernzugriff | Organisationen und/oder ihre Hosting-Anbieter müssen ihre Kunden vertraglich über mögliche Datenübertragungen oder Fernzugriffe auf Daten aus einem Land, das nicht mit der DSGVO konform ist, informieren und die damit verbundenen Risiken darlegen. Sie müssen auch die technischen und rechtlichen Maßnahmen, die zur Begrenzung dieser Risiken ergriffen wurden, detailliert aufführen. |
| Immunität gegen Gesetze außereuropäisch | Hosting-Anbieter müssen, wenn sie nicht SecNumCloud-qualifiziert sind, transparent machen, wie anfällig sie für außereuropäische Gesetze sind. Wenn sie sich auf einen Dritt-Hosting-Anbieter stützen, der nicht SecNumCloud-qualifiziert ist, müssen Organisationen, die Gesundheitsdaten verarbeiten, die Transparenz dieses Anbieters sicherstellen. |
| ISO 27001 | Da die NSA die Aufnahme bestimmter Entwicklungen von ISO 27001 in den neuen Standard für die HDS-Zertifizierung verlangt, müssen Organisationen, die Gesundheitsdaten verarbeiten, und/oder ihr Hosting-Anbieter bei der Erneuerung ihrer HDS-Zertifizierung die Anforderungen erfüllen. |
"Zwar sieht der neue Standard nicht sofort eine Angleichung an die Anforderungen hinsichtlich der Immunität gegenüber extraterritorialen Gesetzen des berüchtigten Artikels 19.6 des SecNumCloud-Standards vor, doch wird diese Konvergenz bis 2027 angestrebt."
Wenn die Organisation selbst für das Hosting von Gesundheitsdaten sorgt, muss sie die HDS-Zertifizierung erhalten.
Wenn sie das Hosting jedoch an einen Dritten weitervergibt, muss der Hosting-Anbieter zertifiziert werden.