Die HDS-Zertifizierung soll den Schutz der Gesundheitsdaten der Franzosen stärken und ein vertrauenswürdiges Umfeld für eHealth und Patientenüberwachung schaffen. Die Zertifizierung richtet sich an alle öffentlichen oder privaten Einrichtungen, die Gesundheitsdaten beherbergen, betreiben oder sichern. Angesichts der zunehmenden Bedrohung durch Cyberangriffe hat die Agence du Numérique en Santé im Jahr 2023 eine Neufassung des HDS-Referenzrahmens in Auftrag gegeben, indem sie Nutzer und Anbieter von Diensten um Unterstützung gebeten hat. Der neue Text führt somit anspruchsvollere Kriterien für Souveränität und Transparenz ein.
Marguerite Brac de la Perrière, Fachanwältin für Digitales und Gesundheit und Partnerin von Numeum, und Giuliano Ippoliti, Direktor für Cybersicherheit bei Cloud Temple, beleuchten in diesem Kreuzverhör die Veränderungen, die der neue Standard mit sich bringt.
Warum war es an der Zeit, eine neue Version des HDS-Referenzsystems zu implementieren?
Marguerite : Der vorherige HDS-Standard stammte aus dem Jahr 2018. Es war ein wenig in die Jahre gekommen, insbesondere weil die ISO-Norm 27 001 in der Zwischenzeit aktualisiert worden war.
Es gab auch eine Reihe von Themen, die den Akteuren Schwierigkeiten bereiteten, insbesondere im Zusammenhang mit der Anwendung extraterritorialer Gesetze und mit der Definition von Aktivität 5 des Referenzrahmens, die im Dekret von 2018 über die Verwaltung und den Betrieb von Gesundheitsinformationssystemen festgelegt wurde.
Diese Tätigkeit war also ein wenig an der Grenze zwischen den Tätigkeiten eines Hosts und eines Herausgebers. Dies kann also zu Schwierigkeiten bei der Auslegung führen, z. B. wer zertifiziert werden muss, je nachdem, welche Aktivitäten in concreto durchgeführt werden. Die Ambition dieses neuen Standards bestand insbesondere darin, diese verschiedenen Elemente zu klären.
Was sind die Hauptunterschiede zwischen dem alten Referenzrahmen und dieser neuen Version?
Marguerite Die neue Norm ist interessant, auch wenn sie in Bezug auf die berühmte Aktivität 5 unvollständig ist.
Es gibt auch neue Garantien und Transparenzpflichten im Zusammenhang mit Themen der extraterritorialen Rechtsdurchsetzung. Dies gibt Aufschluss darüber, welche Pflichten Hosting-Anbieter haben, um ihre Kunden angemessen über mögliche Risiken der extraterritorialen Rechtsdurchsetzung zu informieren, insbesondere über die Pflicht, Daten im Europäischen Wirtschaftsraum (EWR) zu hosten, der etwas größer als die EU ist.
Giuliano : Das ist in der Tat die bedeutendste Entwicklung im Referenzrahmen: Transparenz. Diese Einführung des neuen Referenzrahmens ist keine Revolution. Es gibt einige Dinge, die sich nicht ändern. Zum Beispiel bleibt ISO 27 001 die Grundlage des Standards, auch wenn die neue Version 2022 nun die Referenzversion ist. Die sechs Aktivitäten des Standards wurden beibehalten, aber ihre Formulierung wurde verbessert. Insbesondere gab es eine Inversion zwischen den Aktivitäten 3 und 4. Es gibt neue Anforderungen, die sich um drei Achsen drehen: Souveränität, Transparenz und Einhaltung der DSGVO.
In Bezug auf die Aspekte der Souveränität gibt es eine Verpflichtung, die Risiken zu berücksichtigen, die mit der Exposition gegenüber extraterritorialen Gesetzen verbunden sind. Es gibt tatsächlich diese Anforderung, dass die Daten im Europäischen Wirtschaftsraum gehostet werden müssen.
Interessant ist auch, dass der neue Standard die Transparenz wirklich ziemlich weit treibt und HDS-zertifizierte Dienstleister dazu verpflichtet, die Liste ihrer Subunternehmer zu veröffentlichen, was wirklich wichtig ist, insbesondere für diejenigen, die möglicherweise Gesetzen unterworfen sind mit Gebietsschutz die außerhalb des Europäischen Wirtschaftsraums ansässig sind.
Was spricht Sie an der durch den HDS-Standard festgelegten Aktivität 5 an?
Zur Erinnerung: Es gibt sechs davon. Die erste bezieht sich auf das physische Hosting. Die zweite betrifft die Verwaltung der Infrastruktur, die dritte die Verwaltung der Virtualisierungsinfrastruktur. Die vierte konzentriert sich auf die Verwaltung des Betriebssystems und der Middleware und die fünfte auf das Managed Hosting, die Maßnahmen der Verwaltung. Die sechste schließlich klärt, was es mit ausgelagerter Datensicherung auf sich hat.
Marguerite : Wir beschäftigen uns mit einem Thema, das seit 2017 eine Seeschlange ist. Von dem Moment an, als wir 2018 von einem Dekretentwurf über das Hosting von Gesundheitsdaten erfuhren, hat dies viele Reaktionen hervorgerufen.
Aktivität 5, die Verwaltung und der Betrieb eines Gesundheitsinformationssystems, liegt ein wenig an der Grenze zwischen den Aktivitäten eines Hosts und eines Herausgebers. Er stellte sich daher die Frage, ob Herausgeber auch für diese Aktivität zertifiziert werden sollten.
Seitdem stellt man fest, dass es viele Verleger gibt, die sich dazu entschlossen haben, diese Zertifizierung anzustreben.
Umgekehrt ließen sich Anbieter und Hosting-Unternehmen zertifizieren, obwohl sie eigentlich nicht auf der Seite der Geschäftsanwendungen von Informationssystemen tätig sein sollten, sondern nur auf der Seite der Hosting-Infrastruktur.
Die Definition der jeweiligen Aufgabenbereiche von Verlegern und Hosting-Anbietern machte es schwierig, den Umfang dieser Tätigkeit einzugrenzen 5.
Eine Zeit lang wurde darüber diskutiert, sie durch ein Dekret abzuschaffen. Letztendlich wurde dies jedoch nicht als Lösung gewählt. Der neue Standard bietet Klarheit und ermöglicht es den Akteuren, zu bestimmen, wer für welche Aktivitäten zertifiziert werden muss.
Es zeigt sich, dass die Vertragsketten manchmal so komplex sind, dass es schwierig ist, festzustellen, ob es nur die vom Hoster bereitgestellten Ressourcen oder die Eingriffe in diese Ressourcen sind, die eine Zertifizierung der Stufe 5 erfordern. In Wirklichkeit kann es sich auch um Ressourcen handeln, die von anderen Hosts zur Verfügung gestellt werden, oder sogar um bestimmte Aktivitäten von Publishern. Diese können Sicherheitslücken in den gehosteten Umgebungen darstellen, was bedeutet, dass sie ebenfalls zertifiziert werden sollten.
Häufig wird berichtet, dass eine Reihe von Akteuren in Gesundheitseinrichtungen von den Hosting-Anbietern gezwungen werden, selbst für die Aktivitäten 5 zertifiziert zu sein, da der Hosting-Anbieter sich ansonsten weigert, seine Dienste anzubieten. Dies führt letztlich zu Auswüchsen, die nicht mit dem Geist des Textes übereinstimmen. Es gab also Rückmeldungen aus der Praxis an die ANS (Agence du Numérique en Santé), die die Einrichtung einer FAQ ermöglicht haben. Dadurch können diskriminierende Handlungen besser bestimmt werden, insbesondere im Zusammenhang mit der Verwaltung des Zugangs zu Umgebungen und Gesundheitsdaten, sei es auf Seiten des Herausgebers oder des Hosts.
Giuliano : Vielleicht ist dies die Gelegenheit, daran zu erinnern, wie Cloud Temple diese Komplexität aufgegriffen hat. Cloud Temple wurde zunächst für die Aktivitäten Hosting und Backup zertifiziert, d. h. für die Aktivitäten 1, 2, 3, 4 und 6. Die Aktivität 5 hatten wir anfangs ausgeschlossen.
Zweitens haben wir den Umfang unserer Zertifizierung nach ISO 27 001 auf unsere Managed Services (Outsourcing). Nachdem dieser Ausdruck des Umfangs auf der Ebene von ISO 27001 validiert worden war, reichten wir Aktivität 5 bei der Prüfung für die HDS-Zertifizierung ein.
Für Cloud Temple war es relativ einfach, zwischen Hosting- und Outsourcing-Aktivitäten zu unterscheiden. Für Softwarehersteller, die sich in einer komplexeren Position befinden, mit der Notwendigkeit, Zugangskontroll- und Verschlüsselungsaktivitäten zu implementieren, ist dies jedoch nicht unbedingt der Fall.
Aussagen, die bei den von Cloud Temple organisierten Talks Cloud & Gesundheit auf der SantExpo 2024 getroffen wurden
Lesen Sie den anderen Teil dieses Austauschs in diesem Artikel : Wo ist der HDS-Standard im Vergleich zu anderen Vorschriften einzuordnen?