Cloud Temple, Docaposte, Oodrive, Outscale und OVHCloud veröffentlichen einen gemeinsamen offenen Brief zu den strategischen Herausforderungen der digitalen Sicherheit und Souveränität im Zusammenhang mit dem neuen Referenzrahmen für das Hosting von Gesundheitsdaten..
Vertrauen und Sicherheit: Das ist das Mindeste, was Bürger in Bezug auf so sensible Daten wie ihre Arztbesuche, Analyseergebnisse oder Operationsberichte erwarten können... In diesem Sinne bietet der überarbeitete Referenzrahmen für die Zertifizierung von Gesundheitsdatenhostern (Health Data Hosters, HDS), mit dem die Sicherheit des Hostings von Gesundheitsdaten gewährleistet werden kann, wichtige Garantien. Wir, die europäischen Anbieter von Cloud-Diensten, unterstützen von Anfang an die Ziele, die in dem 2022 von der Délégation au Numérique en Santé und der Agence du Numérique en Santé initiierten Revisionsprojekt angegeben werden.
Dies ist der Sinn unseres ersten gemeinsamen Briefes, der im Februar 2023 veröffentlicht wurde, um zu bekräftigen, wie wichtig es ist, den Schutz der gehosteten Gesundheitsdaten zu gewährleisten, gemäß einer doppelten Anforderung der Sicherheit und der digitalen Souveränität gegenüber extraterritorialen Gesetzen. Dies ist auch der Sinn der Arbeit des künftigen Strategischen Branchenausschusses "Vertrauenswürdige digitale Lösungen", der die Entwicklung von schützenden Dienstleistungen begleiten soll, die den Erwartungen der Nutzer entsprechen.
Wir unterstützen den neuen HDS-Standard, bekräftigen aber auch unsere Forderung, beim Schutz von Gesundheitsdaten noch weiter zu gehen, wenn der Standard 2027 erneut überarbeitet werden soll. Anatomie in drei Punkten eines bahnbrechenden Fortschritts, der noch ausgebaut werden muss, um die digitale Transformation des Gesundheitswesens nachhaltig abzusichern.
Punkt 1 : Ein transparenteres und anspruchsvolleres Referenzsystem für Souveränität
Der Schutz von Gesundheitsdaten in einem zunehmend vernetzten Sektor bedeutet, unautorisierten Zugriff durch Cyberkriminelle oder Drittstaaten zu verhindern. Auch heute noch gefährdet diese Art des Zugriffs die Kontrolle, die die Nutzer zu Recht über die Verwendung und Verarbeitung dieser besonders sensiblen Daten verlangen können. Das wohl eindrucksvollste Beispiel ist der Foreign Intelligence Surveillance ActDieses umstrittene Gesetz, das die US-Regierung gerade um zwei Jahre verlängert hat, ermöglicht es den Geheimdiensten auf der anderen Seite des Atlantiks, auf die Daten von nicht-amerikanischen Nutzern zuzugreifen, ohne dass diese davon in Kenntnis gesetzt werden.
In diesem besorgniserregenden Kontext treffen nicht nur digitale, sondern auch politische, wirtschaftliche, gesellschaftliche und ethische Herausforderungen aufeinander. Der neue HDS-Standard formalisiert eine Reihe von Fortschritten in Bezug auf die Kontrolle und Transparenz von Gesundheitsdaten. Die Hinzufügung eines neuen Abschnitts mit vier Anforderungen zur Datensouveränität ist eine erste Firewall, die wir uns gewünscht haben. Indem er insbesondere die ausschließliche physische Unterbringung von Gesundheitsdaten innerhalb des Europäischen Wirtschaftsraums und strenge Transparenzanforderungen vorschreibt, hat dieser Abschnitt einen doppelten Verdienst: Er verbessert den Schutz dieser Daten und erhöht gleichzeitig das Informationsniveau der Nutzer, insbesondere über die Risiken der Übermittlung ihrer Daten außerhalb der Europäischen Union.
Punkt 2 : Die französische Digitalindustrie ist bereit und engagiert, europäische Gesundheitsdaten zu schützen
Diese neuen Fortschritte des HDS-Standards sollen es den Nutzern ermöglichen, sich der Bedeutung eines verstärkten Schutzes ihrer Gesundheitsdaten bewusst zu werden und sie zu ergreifen, und zwar zu einem Zeitpunkt, an dem sich die französische Digitalbranche strukturiert, um ihren Erwartungen besser gerecht zu werden.
Der offizielle Startschuss für die Arbeit des Comité Stratégique de Filière "Solutions numériques de confiance" (Strategischer Branchenausschuss "Vertrauenswürdige digitale Lösungen") am 15. Mai markiert in diesem Sinne einen wichtigen Meilenstein. Dieser Schritt ist umso bemerkenswerter, als er in einem Land, nämlich Frankreich, wurzelt, das im Bereich des Datenschutzes und der Aufwertung seiner Industrie eine Vorreiterrolle einnimmt. Dieser Ausschuss verdeutlicht das kollektive Engagement der Branche, innovative digitale Dienstleistungen anzubieten, die dem Bedürfnis der Nutzer nach Vertrauen gerecht werden. Mit der zunehmenden Stärke dieser Branche steht die digitale und technologische Autonomie Frankreichs und Europas auf dem Spiel. Die französischen Akteure sind schon jetzt bereit und erfüllen die höchsten Sicherheitsanforderungen.
Punkt 3 : Die zukünftige Version des Referenzsystems muss ehrgeiziger sein, um Vertrauen zu gewährleisten
Der im Januar 2024 veröffentlichte Marchand-Arvier-Bericht betont, dass das Potenzial unseres Gesundheitsdatenbestands weitgehend ungenutzt bleibt, gebremst durch lange und komplexe Prozesse und vor allem durch einen Mangel an Kooperation und Vertrauen innerhalb des Ökosystems.
Daher erkennen wir an, dass die Weiterentwicklung des HDS-Referenzsystems ein erster, sicherlich positiver Schritt ist, dem jedoch weitere Schritte vorausgehen müssen: Die nächste Überarbeitung des Referenzsystems, die bereits für 2027 geplant ist, muss eine echte Souveränität der Gesundheitsdaten gewährleisten, indem sie Immunität gegen extraterritoriale Gesetze fordert. Dieses Schutzniveau muss über die bloße Anforderung der Lokalisierung der Daten hinausgehen, die nicht ausreicht, um die Daten vor dem Zugriff durch Drittstaaten zu schützen. Daher sollten die Kriterien von Kapitel 19.6 des Bezugsrahmens "SecNumCloud 3.2" der Nationalen Agentur für die Sicherheit von Informationssystemen angepasst werden, um eine echte Kontrolle über die Daten zu gewährleisten und das Vertrauen innerhalb des Ökosystems wiederherzustellen. Diese Entwicklung entspricht im Übrigen der Dynamik, die durch das Gesetz "Sicherung und Regulierung des digitalen Raums" angestoßen wurde, das die Unterbringung bestimmter Daten des öffentlichen Sektors in Cloud-Diensten vorschreiben wird, die die höchsten Kriterien für Sicherheit und Datenschutz garantieren.
In einem unsicheren geopolitischen Kontext und angesichts des unschätzbaren Wertes von Gesundheitsdaten treten wir für ein entschieden europäisches und ethisches Gesellschaftsmodell ein, das im Interesse der Organisationen und der Bürger liegt. Wir, die europäischen Cloud-Industriellen, rufen zu einer Digitalisierung des Gesundheitswesens auf, die vereinfacht, innovativ ist und schützt.