Hospedaje de Datos de Salud (HDS) de Francia

Acerca del HDS

La certificación Hébergeurs de Données de Santé (HDS) es necesaria para entidades como proveedores de servicios en la nube que hospedan datos de salud personales regidos por las leyes francesas y recopilados para la prestación de servicios preventivos, diagnósticos y otros servicios de salud. El reglamento de HDS fue emitido por ASIP SANTÉ, que, bajo el Ministerio de Salud francés, es responsable de promover soluciones sanitarias basadas electrónicamente en Francia.

La legislación francesa regula el hospedaje de datos sanitarios a través del Código francés de salud pública (artículo L.1111-8). El código estipula que cualquier organización sanitaria (hospitales, compañías farmacéuticas, laboratorios) que controle los datos médicos personales debe usar un proveedor de servicios certificado por HDS. En abril de 2018, se aplicarán los nuevos artículos de R1111-8-8 a R1111-11 del Código de Salud Pública, y se cambiará el procedimiento de acreditación, pasando de una autorización del Ministerio de Sanidad de Francia a una certificación de un organismo autorizado como el BSI.

La certificación del HDS requiere que los proveedores de servicios implementen medidas que garanticen la seguridad, la confidencialidad y la accesibilidad de los datos de salud personales de los pacientes. Entre estas medidas se incluyen procedimientos robustos de autenticación y autorización, sistemas de copias de seguridad sólidos y poderosos métodos de cifrado. El HDS también especifica disposiciones obligatorias que deben incluirse en los contratos con el proveedor de servicios en la nube. Estos requisitos se aplicarán sin importar dónde se almacenan los datos.

Microsoft y el HDS

Microsoft Azure, Microsoft Dynamics 365 y Microsoft 365 tienen la certificación de Hospedaje de datos de salud (Hébergeurs de Données de Santé, HDS), que es necesaria para todas las entidades que hospedan datos de salud personales regulados por la legislación francesa. Esta certificación convirtió a Microsoft en el primer proveedor de servicios en la nube importante en cumplir los estrictos estándares franceses para almacenar y procesar datos de estado. Esta certificación, necesaria según la revisión del Código de Salud Pública francés de 2018, exige requisitos avanzados de seguridad y privacidad en los servicios de hospedaje y a los proveedores en la nube, con el fin de proteger adecuadamente la confidencialidad y la integridad de los datos confidenciales.

BSI Group, un organismo certificador independiente acreditado por las autoridades francesas para llevar a cabo auditorías de HDS, auditó y certificó el cumplimiento de Microsoft con los requisitos de HDS.

La certificación del HDS permite a los proveedores de sanidad en Francia usar los servicios en la nube de Microsoft para ahorrar costos, mejorando la eficiencia clínica y operacional, y posibilitando el desarrollo de soluciones innovadoras y vanguardistas. Los proveedores pueden desarrollar aplicaciones inteligentes o usar aplicaciones de terceros hospedadas en Azure para implementar análisis predictivos para personalizar la atención sanitaria, evaluar y tratar a los pacientes a distancia (telemedicina) y mejorar la supervisión de medicamentos terapéuticos.

La auditoría rigurosa abarcaba las medidas que Microsoft adoptó para proteger los datos de salud personal y proteger su confidencialidad, incluidos los siguientes:

• Certificación ISO/IEC 27001:2013 de Administración de seguridad de la información para los servicios en la nube de Microsoft, que se auditan anualmente para certificar su cumplimiento normativo.
• Nivel alto de privacidad basado en el cumplimiento del RGPD y el Código de Prácticas para la Protección de la Información de Identificación Personal ISO/IEC 27018.

Servicios y plataformas en la nube de Microsoft en el ámbito

• Azure. El certificado del HDS se aplica a los servicios de Azure que cumplen con el estándar ISO/IEC 27001 en las ofertas de Cumplimiento de Azure y ofrecidos en las siguientes regiones:
  • Centro de Francia
  • Sur de Francia
  • Norte de Alemania
  • Alemania Central Occidental
  • Norte de Italia
  • Norte de Europa
  • Este de Noruega
  • Oeste de Noruega
  • Centro de Polonia
  • Centro de España
  • Centro de Suecia
  • Sur de Suecia
  • Oeste de Europa
• Dynamics 365. El certificado del HDS se aplica a Dynamics 365 Core Online Services ofrecido desde Francia y territorios de la Unión Europea.
• Microsoft Intune
• Microsoft 365. El certificado HDS se aplica a los servicios en línea de Microsoft 365 Core aprovisionados desde zonas geográficas de Francia y la Unión Europea.
• Servicio en la nube de Power BI como un servicio independiente o como se incluye en un plan o conjunto de aplicaciones de marca de Microsoft 365

El certificado HDS no se aplica a Microsoft servicios en línea en versión preliminar o preliminar.

Auditorías, informes y certificados

La certificación de HDS impone requisitos avanzados de seguridad y privacidad a los servicios de hospedaje y los proveedores de nube para garantizar que la confidencialidad y la integridad de los datos confidenciales estén adecuadamente protegidas. Los servicios en la nube de Microsoft (incluidos los Azure) tienen la certificación HDS, como se muestra en la lista ASIP Santé de hosts certificados por HDS. Descargue el certificado ASIP Sante HDS más reciente desde la sección Service Trust Portal: GRC Assessment Reports (Portal de confianza del servicio: informes de evaluación de GRC ).

Cómo se debe implementar

• Términos contractuales: el código de salud pública francés requiere la ejecución de términos contractuales específicos entre el servicio de hospedaje de datos de mantenimiento o el proveedor de servicios en la nube y sus clientes. Los clientes aptos deben comunicarse con el contacto de Microsoft para licencias para suscribir estos términos contractuales específicos antes de hospedar datos personales de salud en los servicios en línea de Microsoft.
• Ciencias sociales y de la salud: información general de casos, guías de soluciones, tutoriales y otros recursos para ayudarle a crear soluciones de Azure.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica del portal de Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos

• Documentación de cumplimiento de Azure
• Términos de Microsoft Online Services
• Blog de certificación en Microsoft HDS
• zonas geográficas Azure
• Azure para la salud
• Seguridad en Microsoft
• Cumplimiento normativo en el Centro de confianza de Microsoft