Hosting di dati sanitari (HDS) Francia
Informazioni su HDS
Per le entità come i fornitori di servizi cloud che ospitano i dati sanitari personali soggetti alla legge francese e raccolti per fornire servizi sanitari di prevenzione, diagnostica o altro, è necessaria la certificazione Hébergeurs de Données de Santé (HDS). La normativa HDS è stata rilasciata dall’ASIP SANTÉ che, sotto il ministero della sanità francese, è responsabile della promozione di soluzioni elettroniche per l’assistenza sanitaria in Francia.
L'hosting dei dati sanitari è disciplinato dalla legge francese nel codice della sanità pubblica (articolo L. 1111-8), che prevede che qualsiasi organizzazione sanitaria, come ospedali, aziende farmaceutiche o laboratori, che gestisca dati medici personali deve usare un fornitore di servizi con certificazione HDS. Nell'aprile 2018 sono entrati in vigore i nuovi articoli da R1111-8-8 a R1111-11 del codice della sanità pubblica, che hanno così modificato la procedura di accredito su autorizzazione da parte del ministero della sanità francese rendendo necessaria la certificazione presso un organismo autorizzato come il BSI.
La certificazione HDS richiede che i fornitori di servizi mettano in atto misure che mantengano i dati sanitari personali protetti, riservati e accessibili dai pazienti. Queste misure includono solide procedure di autenticazione e autorizzazione, sistemi di backup efficienti e metodi di crittografia resistenti. L’HDS specifica anche le disposizioni obbligatorie che devono essere incluse nei contratti con il fornitore di servizi cloud. Questi requisiti sono applicabili a prescindere da dove siano archiviati i dati.
Microsoft e l’HDS
A Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 è stata concessa la certificazione Health Data Hosting (Hébergeurs de Données de Santé, HDS), necessaria per tutte le entità che ospitano dati sanitari personali disciplinati dalla legge francese. Microsoft è così diventato il primo fornitore di servizi cloud a rispettare i rigorosi standard francesi per l'archiviazione e l'elaborazione dei dati sanitari. Questa certificazione, necessaria dopo la revisione del codice della sanità pubblica francese del 2018, impone criteri di sicurezza e privacy avanzati per i servizi di hosting e i fornitori di servizi cloud, per garantire che la riservatezza e l'integrità dei dati sensibili siano adeguatamente protette.
La conformità di Microsoft ai requisiti HDS è stata verificata e certificata dal gruppo BSI, un organismo di certificazione indipendente accreditato dalle autorità francesi per l’esecuzione di verifiche HDS.
La certificazione HDS consente ai servizi sanitari in Francia di usare i servizi cloud di Microsoft per risparmiare sui costi migliorando l'efficienza clinica e operativa, e apre la strada allo sviluppo di soluzioni innovative e all'avanguardia per il settore sanitario. I fornitori sono in grado di sviluppare applicazioni intelligenti o di usare applicazioni di terze parti ospitate in Azure per implementare analisi predittive e personalizzare così l'assistenza sanitaria, valutare e trattare i pazienti a distanza (telemedicina) ed affinare il monitoraggio terapeutico del farmaco.
Il rigoroso controllo è stato effettuato sulle misure adottate da Microsoft per proteggere i dati sanitari personali e la loro riservatezza, tra cui:
- La certificazione ISO/IEC 27001:2013 sulla gestione della sicurezza delle informazioni dei servizi cloud di Microsoft, la cui conformità viene verificata ogni anno.
- L’elevato livello di privacy basato sulla conformità al GDPR e al Codice di condotta per la protezione dei dati personali nel cloud ISO/IEC 27018.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
-
Azure. Il certificato HDS è valido per i servizi di Azure elencati come conformi alle normative ISO/IEC 27001 nelle offerte di conformità di Azure e forniti nelle aree seguenti:
- Francia centrale
- Francia meridionale
- Germania settentrionale
- Germania Centro-Occidentale
- Italia settentrionale
- Europa settentrionale
- Norvegia Orientale
- Norvegia occidentale
- Polonia centrale
- Spagna centrale
- Svezia centrale
- Svezia centrale meridionale
- Europa occidentale
- Dynamics 365. Il certificato HDS è valido per i servizi online standard di Dynamics 365 forniti dalle aree geografiche della Francia e dell’Unione Europea.
- Intune
- Microsoft 365. Il certificato HDS si applica a Microsoft 365 Core Online Services di cui è stato effettuato il provisioning dalla Francia e dalle aree geografiche dell'Unione Europea.
- Servizio cloud di Power BI come servizio autonomo o incluso in un piano o in una suite con marchio Microsoft 365
Il certificato HDS non si applica a Microsoft Servizi online in anteprima o in versione preliminare.
Controlli, report e certificati
La certificazione HDS impone requisiti avanzati di sicurezza e privacy per i servizi di hosting e i provider cloud per garantire che la riservatezza e l'integrità dei dati sensibili siano adeguatamente protette. Ai servizi cloud Microsoft (incluso Azure) è stata concessa la certificazione HDS, come mostrato nell'elenco ASIP Santé degli host certificati HDS. Scaricare la versione più recente del certificato Sante HDS ASIP dalla sezione Service Trust Portal: GRC Assessment Reports .
Come eseguire l'implementazione
- Condizioni contrattuali: il codice della sanità pubblica francese richiede l'esecuzione di specifiche condizioni contrattuali tra il servizio di hosting dei dati sanitari o il fornitore di servizi cloud e i relativi clienti. I clienti idonei devono rivolgersi al proprio punto di contatto per le licenze di Microsoft per stipulare queste condizioni contrattuali specifiche prima di ospitare dati sanitari personali nei servizi online di Microsoft.
- Salute e scienze biologiche: panoramiche di casi, guide alle soluzioni, esercitazioni e altre risorse per creare soluzioni di Azure.