Publié le 26 / 09 / 2018

Vous hébergez ou infogérez des données de santé pour le compte de personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, ou pour le compte du patient lui-même ? Sachez que l’ordonnance n° 2017-27 du 12 janvier 2017 est applicable par voie de décret depuis le 31 mars 2018 et cela vous implique d’être certifiée ISO27001 HDS.

A la différence d’une certification classique ISO27001, le référentiel de certification ne le limite pas à la seule norme ISO27001 et son annexe A. Elle concerne

  • Certaines exigences de la norme ISO20000 : gestion des changements, gestion des capacité et gestion de la disponibilité ;
  • Certaines exigences spécifiques à la protection des données personnelles dans le nuage (annexe A de la norme ISO27018 dont certaines exigences semblables au RGPD) ;
  • Et certaines exigences issues du référentiel de l’agrément HDS (P6).

La procédure de certification quant à elle ne diffère pas d’une certification ISO, à savoir :

  • Le dépôt du dossier à un Organisme de Certification (OC) qui se chargera de vous établir une convention d’audit, un plan d’audit … et un devis associé.
  • L’audit d’étape 1 consistant à réaliser une revue documentaire afin de vérifier la conformité documentaire du système, par rapport aux exigences du référentiel de certification.
  • L’audit d’étape 2 consistant à vérifier la bonne application des mesures de sécurité en recueillant et analysant les preuves d’audit.
  • Le traitement des éventuelles non-conformités majeures sous un délais de 3 mois
  • La décision de la commission de certification de l’OC sur la base des recommandations de l’auditeur.

Une fois le précieux sésame obtenu, le certificat est délivré pour une durée de trois ans, par l’organisme certificateur, lorsqu’aucune non-conformité majeure n’est constatée. Un audit de surveillance annuel est effectué par l’OC (audit partiel + suivi des recommandations du précédent audit).

 

Pour en savoir plus, n’hésitez pas à contacter nos équipes sur contact@scassi.com