L'obiettivo della certificazione HDS è rafforzare la protezione dei dati sanitari francesi e creare un ambiente di fiducia intorno alla sanità elettronica e al monitoraggio dei pazienti. Si applica a tutte le entità pubbliche o private che ospitano, utilizzano o eseguono il backup di dati sanitari. In risposta alla crescente minaccia informatica, l'Agenzia francese per la salute digitale (Agence du Numérique en Santé) ha lanciato una revisione degli standard HDS nel 2023, invitando utenti e fornitori di servizi a contribuire. Il nuovo testo introduce criteri più esigenti in termini di sovranità e trasparenza.
Marguerite Brac de la Perrière, avvocato specializzato in digitale e sanità e partner di Numeum, e Giuliano Ippoliti, direttore di Cybersecurity di Cloud Temple, fanno luce sui cambiamenti apportati dai nuovi standard in questa intervista congiunta.
Perché era giunto il momento di implementare una nuova versione del repository HDS?
Marguerite : Il precedente standard HDS risaliva al 2018. Era un po' datato, in particolare perché nel frattempo era stata aggiornata la norma ISO 27 001.
Vi sono state anche alcune questioni che hanno messo in difficoltà gli attori, in particolare in relazione all'applicazione di leggi extraterritoriali e alla definizione dell'attività 5 dell'archivio, definita dal decreto del 2018 relativo all'amministrazione e al funzionamento dei sistemi informativi sanitari.
Questa attività era quindi un po' al confine tra le attività di un hosting provider e di un editore. Questo può dare adito a difficoltà interpretative, come sapere chi deve essere certificato, a seconda delle attività concretamente svolte. Uno degli obiettivi dei nuovi standard era quello di chiarire questi diversi elementi.
Quali sono le principali differenze tra i vecchi standard e questa nuova versione?
Margherita Ciò che è interessante del nuovo quadro di riferimento sono i chiarimenti, anche se ancora imperfetti, sulla famosa attività 5.
Ci sono anche nuove garanzie e obblighi di trasparenza relativi all'applicazione di leggi extraterritoriali. In questo modo è possibile scoprire quali obblighi hanno i provider di hosting di informare correttamente i propri clienti sui possibili rischi dell'applicazione di leggi extraterritoriali, e in particolare sull'obbligo di ospitare i dati sul territorio dello Spazio economico europeo (SEE), che è leggermente più ampio dell'UE.
Giuliano Questo è il cambiamento più significativo degli standard: la trasparenza. L'introduzione dei nuovi standard non è una rivoluzione. Alcuni aspetti rimangono invariati. Ad esempio, la ISO 27001 rimane il fondamento dello standard, anche se la nuova versione 2022 è ora la versione di riferimento. Le sei attività dello standard sono state mantenute, ma la loro formulazione è stata migliorata. In particolare, è stata introdotta una inversione tra le attività 3 e 4. Ci sono nuovi requisiti che ruotano attorno a tre assi: sovranità, trasparenza e conformità con il RGPD.
Per quanto riguarda la sovranità, esiste l'obbligo di prendere in considerazione i rischi associati all'esposizione a leggi extraterritoriali. Esiste l'obbligo di ospitare i dati nello Spazio economico europeo.
L'aspetto interessante è che questo nuovo standard spinge davvero sulla trasparenza e obbliga i fornitori di servizi certificati HDS a pubblicare l'elenco dei loro subappaltatori, il che è davvero importante, soprattutto per coloro che possono essere soggetti alla legislazione. con protezione del territorio stabiliti al di fuori dello Spazio Economico Europeo.
Cosa trovate di interessante nell'attività 5 degli standard HDS?
Come promemoria, ce ne sono sei. Il primo riguarda l'hosting fisico. Il secondo riguarda la gestione dell'infrastruttura, il terzo la gestione dell'infrastruttura di virtualizzazione. Il quarto si concentra sulla gestione del sistema operativo e del middleware e il quinto sulla gestione e l'amministrazione delle strutture. Infine, il sesto riguarda il backup in outsourcing.
Margherita Siamo di fronte a un argomento che è stato oggetto di dibattito dal 2017. Dal momento in cui siamo venuti a conoscenza di una bozza di decreto sull'hosting dei dati sanitari nel 2018, ha generato molte reazioni.
L'attività 5, che consiste nell'amministrazione e nel funzionamento di un sistema informativo sanitario, si colloca a cavallo tra le attività di un fornitore di hosting e quelle di un editore. Si chiede quindi se gli editori debbano essere certificati anche per questa attività.
Da allora, molti editori hanno deciso di richiedere questa certificazione.
D'altro canto, gli editori e gli hosting provider sono stati certificati anche se non avrebbero dovuto occuparsi del lato applicativo dei sistemi informativi, ma solo dell'infrastruttura di hosting.
La definizione dei rispettivi perimetri di intervento di editori e hosting provider ha reso difficile circoscrivere l'ambito di questa attività.
Per un certo periodo si è parlato di abolirlo per decreto. Alla fine, questa soluzione non è stata adottata. I nuovi standard forniscono chiarimenti e consentono alle parti interessate di stabilire chi deve essere certificato per le diverse attività.
Notiamo che le catene contrattuali sono a volte così complesse che è difficile stabilire se siano solo le risorse o gli interventi su queste risorse forniti dall'hosting provider a richiedere la certificazione di livello 5. In realtà possono essere anche le risorse messe a disposizione da altri hosting provider o anche alcune attività svolte dagli editori. In realtà, potrebbero essere anche le risorse messe a disposizione da altri hosting provider o addirittura alcune attività svolte dagli editori. Questi elementi possono costituire falle di sicurezza negli ambienti ospitati, il che significa che anche loro dovrebbero essere certificati.
Una lamentela frequente è che i fornitori di servizi di hosting richiedono la certificazione di un certo numero di strutture sanitarie per l'attività 5, senza la quale il fornitore di servizi di hosting si rifiuta di fornire i propri servizi. In definitiva, si finisce per avere degli eccessi che non sono in linea con lo spirito del testo. L'ANS (Agence du Numérique en Santé - Agenzia per la Sanità Digitale) ha quindi ricevuto un feedback dal settore, che ha portato all'introduzione di una FAQ. In questo modo è più facile individuare le azioni discriminatorie, soprattutto in relazione alla gestione dell'accesso agli ambienti e ai dati sanitari, sia da parte dell'editore che dell'hosting provider.
Giuliano Questa è forse una buona occasione per ricordare come Cloud Temple ha affrontato questa complessità. Cloud Temple ha iniziato con la certificazione per le attività di hosting e backup, ovvero le attività 1, 2, 3, 4 e 6. All'inizio abbiamo escluso l'attività 5.
In secondo luogo, abbiamo esteso il campo di applicazione della nostra certificazione ISO 27 001 al nostro servizi gestiti (outsourcing). Una volta convalidata questa espressione del campo di applicazione a livello ISO 27001, abbiamo sottoposto l'attività 5 all'audit di certificazione HDS.
Per Cloud Temple è stato relativamente facile distinguere tra attività di hosting e di gestione delle strutture. Ma per gli editori di software che si trovano in una posizione più complessa, con la necessità di implementare attività di controllo degli accessi e di crittografia, questo non è necessariamente il caso.
Interventi ai Cloud & Health Talks organizzati da Cloud Temple a SantExpo 2024
Scoprite l'altra parte di questo scambio in questo articolo: dove si collocano gli standard HDS rispetto ad altre normative?