Ziel der HDS-Zertifizierung ist es, die Sicherheit der Gesundheitsdaten der französischen Bürger zu erhöhen und ein Klima des Vertrauens rund um eHealth und die medizinische Betreuung der Patienten zu fördern. Die Zertifizierung gilt für alle öffentlichen und privaten Organisationen, die Gesundheitsdaten beherbergen, nutzen oder speichern. Als Reaktion auf die Zunahme von Cyberbedrohungen hat die Agence du Numérique en Santé 2023 in Zusammenarbeit mit Nutzern und Dienstleistern eine Überarbeitung des HDS-Referenzrahmens in die Wege geleitet. Diese neue Version führt höhere Anforderungen an die Souveränität und Transparenz ein.
Wir baten Marguerite Brac de la Perrière, Anwältin für Digitales und Gesundheit und Partnerin von Numeum, und Giuliano Ippoliti, Leiter der Abteilung für Cybersicherheit bei Cloud Temple, in diesem auf der SantExpo 2024 geführten Kreuzverhör um einen Einblick in den neuen Referenzrahmen.
Wo steht der HDS-Referenzrahmen im Vergleich zu SecNumCloud?
Giuliano : Die HDS-Konformität liegt zwischen der ISO 27 001-Konformität und der SecNumCloud in Bezug auf die Anforderungen und die Komplexität, aber der Schritt von ISO 27 001 zu HDS ist kleiner als der Schritt von HDS zu SecNumCloud.
Der Hauptunterschied zwischen HDS und SecNumCloud betrifft das berühmte Kapitel 19.6 von SecNumCloud, das sehr starke Anforderungen rund um die Souveränität einführt, insbesondere Klauseln rund um die Anteilseignerschaft der Organisationen, die sich um die Qualifikation bewerben, die sich mehrheitlich in Frankreich befinden muss.
Andererseits baut HDS auf demselben Konformitätssockel auf wie ISO 27 001. Man muss sich vor Augen halten, dass ISO 27 001 ein Sicherheitsstandard ist, der von der Welt der Qualität inspiriert wurde, der aber die zertifizierten Einheiten nicht dazu verpflichtet, ein Sicherheitsniveau zu haben, das unbedingt dem neuesten Stand der Technik entspricht.
In der Anwendbarkeitserklärung von ISO 27 001 können Maßnahmen genannt werden, die sich in der Umsetzung befinden oder für eine zukünftige Umsetzung vorgesehen sind. SecNumCloud wiederum legt die Messlatte höher, indem es die Einhaltung von technischen Standards der ANSSI verlangt.
Ich habe nicht den Eindruck, dass das HDS-Repository weit genug geht.
Marguerite : Es stimmt, dass diesem Referenzsystem vielfach vorgeworfen wird, dass es Schwierigkeiten bei der Auslegung durch die Zertifizierungsstellen gibt, die Schwierigkeiten haben, eine untereinander harmonisierte Bewertung zu erhalten. Man findet sich mit Hosts wieder, die letztlich nicht unbedingt den gleichen Reifegrad haben.
Giuliano : Das ist genau der Punkt. ISO 27 001 gibt Hebel, Handlungsspielräume, die relativ groß sind. Um ISO 27 001 zu erfüllen, muss man nachweisen, dass das Sicherheitsniveau, das man erreicht hat, mit den Sicherheitszielen des Senior Management (die Generaldirektion). Nun ist der Senior Management ist souverän für ein Sicherheitsniveau und ein Sicherheitsziel, das mit seiner eigenen Tätigkeit im Einklang steht. Dieses Sicherheitsniveau wird für ein Kernkraftwerk nicht das gleiche sein wie für einen Softwarehersteller. Allein die Einhaltung der ISO 27 001 kann nicht vollständig beruhigen, dass ein sehr hohes Sicherheitsniveau erreicht wird. HDS ermöglicht es, einen Schritt weiter zu gehen, insbesondere dank der Anforderungen an Transparenz, Souveränität und Respekt für personenbezogene Daten. Aber eindeutig liegt noch ein großer Schritt hinter den Anforderungen von SecNumCloud.
Was ist von der Verbindung zwischen den französischen und den europäischen Vorschriften zu halten?
Marguerite Die europäische Komponente: In Frankreich gab es schon immer spezielle sektorale Referenzsysteme, die nur wir beherrschen und kennen, die wir aber den Akteuren, die auf unserem Territorium tätig sind, vorschreiben.
Es ist daher fraglich, ob es zu einer Angleichung insbesondere mit der EUCS kommen wird.
Giuliano Frankreich ist ein Vorreiter in der Frage der Cybersicherheit, insbesondere im Zusammenhang mit der Cloud und dem Referenzsystem SecNumCloud, das hinsichtlich der Sicherheitsanforderungen und der Souveränität sehr ehrgeizig ist.
Aus der Sicht eines Cloud-Anbieters wie Cloud Temple ist eine europäische Harmonisierung etwas, das äußerst wünschenswert ist. Dies würde uns die Möglichkeit geben, uns auf dem europäischen Markt mit Sicherheitsgarantien zu präsentieren, die für alle Mitgliedsstaaten sprechen.
Wir verfolgen sehr genau die Arbeiten rund um die Validierung des EUCS-Standards, der diese Harmonisierung in Europa herbeiführen soll.Wir hoffen, dass die von Frankreich vertretene Position rund um die Forderung nach einer starken Souveränität beibehalten wird.
Es scheint, dass Frankreich bei der Unterstützung dieser sehr entschiedenen Position zur Souveränität in der Minderheit ist. Es ist also möglich, dass der EUCS-Standard vorsieht, dass das höchste Sicherheitsniveau mit Angeboten von Akteuren, die außereuropäischen Rechten unterliegen, aber in Europa ansässig sind, in Einklang steht.
Marguerite : Es stimmt, dass das Thema komplex ist. Immerhin gab es am 10. Juli 2023 eine Angemessenheitsentscheidung der Europäischen Kommission zu den Garantien, die ihr von den USA in Bezug auf die Datenverarbeitung vorgelegt wurden, auch wenn die Geschichte bereits mehrfach Abkommen, die möglicherweise zustande gekommen waren, für ungültig erklärt hat.
Das Thema bleibt fragil und es müssen Maßnahmen ergriffen werden, um der Anwendung extraterritorialer Gesetze in Europa entgegenzuwirken. Zum Thema Souveränität: Das ist ein Begriff, der in erster Linie aus Frankreich und dann erst aus Europa kommt. Aber wenn man z. B. in den USA von Souveränität spricht, denkt man nicht an die Verteidigung europäischer Daten und Akteure, sondern eher an Begriffe der militärischen Verteidigung.
Es wurden Begriffe verwendet, die mangels eines besseren Begriffs ein wenig "nationalistisch" oder "europäistisch" sind. Es ist interessant, festzustellen, dass wir in Europa eine Form von Protektionismus haben, aber dass dieser Protektionismus durch Kapillarwirkung alle Akteure betrifft.
Es ist deutlich zu erkennen, dass wir beispielsweise mit unserem französischen Datenschutzgesetz die DSGVO inspiriert hatten, die nach 40 Jahren des Nachdenkens (1978 bis 2018) zustande kam.
Wir sehen also, dass sich die europäischen Akteure durch Kapillarwirkung an unsere Standards halten. Vielleicht wird SecNumCloud auch die Debatten über die Verabschiedung von EUCS auf die eine oder andere Weise beeinflussen. Wir hoffen es jedenfalls.
Zum Thema DSGVO gab es eine Harmonisierung der Pflichtangaben und -klauseln, die in den Vertrag aufgenommen werden müssen. Können Sie dies näher erläutern?
Giuliano Es gibt tatsächlich eine Verpflichtung, die Rechtsgrundlage für die Übermittlung von Daten außerhalb der EU im Vertrag zu erwähnen. Dies bedeutet, dass sie sicherstellen müssen, dass es formalisierte Vertragsklauseln mit ihren außerhalb der Europäischen Union ansässigen Auftragsverarbeitern gibt. Zweitens gibt es die Verpflichtung, die Rechte zu berücksichtigen, die durch die DSGVO bestätigt wurden: das Recht auf Zugang zu den Daten, das Recht auf Korrektur, Berichtigung, Vergessen etc. Dies hängt sicherlich damit zusammen, dass die alte Version des Referenzsystems aus der Zeit vor Inkrafttreten der DSGVO stammte. Diese Integration verdeutlicht die Einhaltung der DSGVO und schließt tatsächlich eine Lücke, die dem alten Referenzsystem eigen war.
Marguerite Der Referenzrahmen hat versucht, alle Themen und Hinweise zu berücksichtigen, die in den Verträgen zwingend enthalten sein müssen. Die Zertifizierungsstellen konnten in Schwierigkeiten geraten, wenn sie in den ihnen vorgelegten Unterlagen die Tatsache sanktionieren wollten, dass Klauseln gemäß der DSGVO fehlten, obwohl es weder ihre Aufgabe noch die des Referenzrahmens ist, dies zu bestimmen, da es sich um eine Verordnung mit europäischer Anwendung handelt. Es ist also interessant, den Akteuren eine Anleitung zu geben, wie sie Verträge mit ihren Kunden gestalten können.
Können Sie etwas Licht in das Thema PAMS (Anbieter für sichere Verwaltung und Wartung) bringen?
Giuliano : Der SecNumCloud-Bezugsrahmen deckt Hosting-Aktivitäten ab, d. h. die Bereitstellung von Diensten des Typs IaaS, PaaS oder SaaS. Es deckt überhaupt keine Outsourcing-Aktivitäten ab. Technisch gesehen ist es nicht verboten, Infrastrukturen in einer SecNumCloud-qualifizierten Cloud einzusetzen und sie von einem Offshore-Zentrum außerhalb Europas oder mit Verwaltungspraktiken, die unter den allgemeinen Sicherheitsstandards liegen, verwalten zu lassen.
Das PAMS-Repository füllt diese Lücke. Es wird das Äquivalent zu SecNumCloud für Outsourcing-Aktivitäten sein. Die Kombination von SecNumCloud mit PAMS, die Cloud Temple anstrebt, wird ein höheres Maß an Vertrauen in die Compliance über das gesamte HDS-Repository hinweg bieten. Mit der Ankunft von PAMS könnte man sich fragen, ob die Aufrechterhaltung des HDS-Repositoriums, das ein wenig in der Mitte zwischen ISO 27 001 und SecNumCloud bleibt, notwendig sein wird.
Aussagen, die bei den von Cloud Temple organisierten Cloud & Health Talks auf der SantExpo 2024 gemacht wurden.
Lesen Sie den anderen Teil dieses Austauschs in diesem Artikel : was sich in den neuen HDS-Richtlinien ändert