Una versione rivista dello standard Health Data Hosting (HDS) è stata elaborata dall'Agence du Numérique en Santé (ANS) ed è attualmente all'esame della Commissione europea. Il nuovo HDS dovrebbe entrare in vigore entro l'estate del 2024.
L'obiettivo della certificazione HDS è rafforzare la protezione dei dati sanitari francesi e creare un ambiente di fiducia intorno alla sanità elettronica e al monitoraggio dei pazienti. Si applica a tutte le entità pubbliche o private che ospitano, utilizzano o eseguono il backup di dati sanitari. In risposta alla crescente minaccia informatica, l'ANS ha lanciato una revisione degli standard HDS nel 2023, invitando gli utenti e i fornitori di servizi. Il nuovo testo introduce criteri più esigenti in termini di sovranità e trasparenza.
| Cosa c'è di nuovo? | Quale sarà l'impatto sull'hosting dei dati sanitari? |
|---|---|
| Posizione europea | I dati dovranno essere conservati sul territorio di uno Stato membro dello Spazio economico europeo. Le organizzazioni che trattano dati sanitari e/o il loro provider di hosting dovranno quindi assicurarsi di essere conformi a questo nuovo requisito. In caso contrario, dovranno prendere in considerazione la possibilità di cambiare offerta o fornitore di cloud. |
| Trasferimento e accesso remoto | Le organizzazioni e/o il loro provider di hosting dovranno informare contrattualmente i propri clienti di qualsiasi trasferimento o accesso remoto ai dati da un Paese non conforme al RGPD, specificando i rischi associati. Dovranno inoltre specificare le misure tecniche e legali implementate per limitare tali rischi. |
| Immunità dalla legge non europeo | Se i provider di hosting non sono qualificati SecNumCloud, dovranno essere trasparenti sulla loro vulnerabilità alle leggi non europee. Se si affidano a un provider di hosting terzo non qualificato SecNumCloud, le organizzazioni che trattano dati sanitari dovranno garantire la trasparenza del provider. |
| ISO 27001 | Poiché l'ANS richiede alcune modifiche allo standard ISO 27001 da incorporare nel nuovo quadro di certificazione HDS, le organizzazioni che trattano dati sanitari e/o il loro fornitore di hosting dovranno conformarsi a tali modifiche al momento del rinnovo della certificazione HDS. |
"Sebbene i nuovi standard non prevedano l'allineamento immediato con i requisiti in termini di immunità alle leggi extraterritoriali di cui al famoso articolo 19.6 degli standard SecNumCloud, questa convergenza è prevista per il 2027".
Se l'organizzazione ospita direttamente i dati sanitari, deve ottenere la certificazione HDS.
Tuttavia, se subappalta l'hosting a una terza parte, è l'host che deve essere certificato.