A ready-to-use data management solution to achieve GDPR compliance and meet health data hosting requirements. 
Companies willing to collect and use personal health data can now benefit from a complete, ready-to-use, and scalable solution, offered by Euris Health Cloud® (health data hosting) and Pryv (personal data and privacy compliance middleware). In Europe, the solution combines a certified HDS (*) hosting offer for security and a personal healthcare data management service for privacy, allowing e-health actors to rigorously manage personal health data and quickly create applications that respect the rights of the patient at an attractive cost.

”Contrary to what companies may believe, the HDS Certification of their hosting provider in no way implies their compliance with the GDPR. All it tells them is that their host offers sufficient data protection guarantees.” says Pierre-Mikael Legris, CEO at Pryv “The complementarity of HDS hosting and GDPR compliance solutions is perfectly illustrated by our partnership with Euris.”

 

“Combining our expertise with Pryv knowledge and Pryv.io capabilities, we provide a unique and proven off-the-shelf solution that allows companies to achieve an optimal data management and protection solution globally through a new bundle offer for startups and innovative e-health projects.“ says Pedro Lucas, CEO at Euris Health Cloud®.

With the offerings Cloud Santé® PRIVACY and Cloud Santé® PRIVACY STARTUP by Euris and Pryv, companies operating in Europe can now meet both French HDS and EU GDPR requirements with no expertise required on their part, allowing them to focus on their core business and increase user engagement through trust and transparency.

About Euris Health Cloud®: www.euris.com

Euris Health Cloud® is a connected healthcare operator, specialized in the hosting of healthcare data. Euris Health Cloud® provides a global hosting infrastructure for personal health data, in compliance with local regulations: EU (HDS: 2018 &ISO 27001 2013), US (HIPAA), China (CSL).

Thanks to a unique marketplace model, Euris Health Cloud® also offers a complete range of interoperable services and solutions, facilitating the deployment of e-health projects: strong authentication, drive, archiving, backup, anonymization, Big Data, Business Intelligence, IoT, telemedicine, CRM, PRM and Healthcare Data Warehouse.

About Pryv: pryv.gihub.io/www

Pryv.io is an extensible personal data lifecycle management platform specifically engineered to empower developers to rapidly create and scale breakthrough GDPR and HIPAA compliant products, services, and experiences. The software has been developed to accommodate rapid integration. It comes with turnkey IoT connectivity, a secure storage vault, fine-grained consent management, and comprehensive auditing capability that radically cut IT development costs and accelerate time-to-benefit while addressing the most stringent data protection requirements.

(*) Certified HDS: « Hébergement de Données de Santé » (French Health Data Hosting certification based on ISO 27001 standard and GDPR regulation)

The post Euris and Pryv simplify personal data management: A ready-to-use solution to meet GDPR and Health Data Hosting requirements. appeared first on Pryv.

La confusion vient du fait que, malgré tout, faire appel à un sous-traitant certifié HDS pourra souvent aider le Responsable du traitement à se conformer au RGPD… Qu’en est-il donc ?

La Certification HDS dans le contexte du RGPD

Selon le RGPD, une entreprise qui collecte et traite des données à caractère personnel doit remplir plusieurs exigences. Notamment :

• Définir les buts et finalités des données qu’elle collecte
• Recueillir le consentement des utilisateurs
• Garantir les droits des utilisateurs (droit à l’oubli, droit à la portabilité, etc.)
• Garantir la sécurité des données
• Mettre en place une procédure en cas de fuites des données
• Tenir un registre des activités de traitement des données (traçabilité des données)

Cependant, il n’est pas exclu que cette entreprise fasse appel à des entreprises externes pour l’aider. Par exemple, une entreprise peut décider d’externaliser les données qu’elle collecte auprès d’un hébergeur sous-traitant, lui permettant ainsi de ne pas devoir elle-même implémenter une solution d’hébergement, ni de devoir en assurer la sécurité.

Mais dans ce cas : comment s’assurer qu’un hébergeur offre des garanties suffisantes en matière de protection des données ? Comment s’assurer que les services qu’il propose sont sécurisés ? Et comment garantir que les droits de vos utilisateurs seront exercés ?

En France, ce problème est résolu par la Certification HDS.

Selon l’art. L1111-8 CSP, toute entreprise qui héberge des données personnelles de santé pour le compte d’un tiers est soumise à l’obligation d’une Certification HDS.

Pour obtenir cette certification, l’hébergeur devra démontrer qu’il remplit plusieurs exigences.Notamment:

• les exigences de la norme ISO 20071 (sécurité des SI)
• une partie des exigences de la norme ISO 20000-1 (gestion des services)
• des exigences complémentaires aux normes précitées
• des exigences relatives à la protection des données personnelles de santé
  (il est conseillé de se référer aux exigences de la norme ISO 27018)
• des exigences complémentaires pour la protection de ces données
• des exigences spécifiques au domaine de la santé

Ainsi, toute entreprise qui fait appel aux services d’un hébergeur certifié aura la garantie que celui-ci offre des produits et/ou services suffisamment sécurisés (en vertu des normes ISO correspondantes), et qu’il respecte la confidentialité des données hébergées.

Pourquoi les entreprises qui sous-traitent leurs données auprès d’un hébergeur certifié HDS doivent-elles encore se conformer au GDPR ?

#1 L’hébergeur n’est certifié HDS que pour les services qu’il propose.

La Certification HDS se décompose en six niveaux d’activité différents pour deux métiers d’hébergement distincts. On a donc :

Un certificat “hébergeur d’infrastructure physique” pour:

• • La mise à disposition de sites physiques permettant d’héberger l’infrastructure matérielle du SI de santé (1)
  • La mise à disposition de l’infrastructure matérielle du SI de santé (2)

Un certificat “hébergeurs infogéreurs” pour:

• • La mise à disposition de la plateforme logicielle (OS, middleware, base de données) du SI de santé (3)
  • La mise à disposition de l’infrastructure virtuelle du SI de santé (4)
  • L’administration et l’exploitation du SI de données (5)
  • La sauvegarde externalisée des données de santé (6)

Un hébergeur n’est certifié que pour les services qu’il propose ; il ne répond donc que des exigences liées à ses activités. Les entreprises doivent donc vérifier ce pour quoi leurs hébergeurs sont certifiés, et être au clair sur les services qui leur sont fournis.

#2 C’est l’hébergeur qui est certifié HDS, non pas l’entreprise qui utilise ses services.

Même si une entreprise fait appel à un hébergeur certifié HDS pour les données qu’elle collecte, cela ne dit rien sur sa propre conformité au regard du RGPD.

L’un des scénarios les plus courants est celui du “Shadow IT”. Une entreprise peut utiliser le système sécurisé d’un hébergeur pour ses données, mais si ses employés en gardent une copie sur des systèmes non sécurisés, alors ces données ne seront pas protégées.

L’entreprise doit donc toujours vérifier qu’elle remplit elle-même toutes les exigences du RGPD, même si son hébergeur en remplit certaines de son côté. De plus, il faut garder à l’esprit que l’externalisation des données repose sur un modèle de responsabilité partagée. 

#3 La Certification HDS ne couvre pas toutes les exigences du RGPD.

Enfin, il faut savoir que les exigences de la Certification HDS ne couvrent pas toutes les exigences du RGPD. Dès lors, même si une entreprise décidait de remplir elle-même toutes les exigences de la certification, elle ne serait toujours pas conforme au RGPD.

Ainsi, même en faisant appel à un hébergeur certifié HDS pour les 6 niveaux d’activité, une entreprise devra toujours veiller à se conformer elle-même, entièrement, au RGPD.

Un hébergeur certifié HDS offre simplement des solutions fiables sur lesquelles les entreprises peuvent s’appuyer pour atteindre leur propre conformité.

Pourquoi la Certification HDS peut néanmoins aider les entreprises à se conformer au RGPD en interne ?

La Certification HDS peut servir de guide pour les entreprises

Le RGPD ne donne que les lignes directrices à suivre pour les entreprises. Par exemple, l’art. 32 RGPD impose aux entreprises d’assurer la sécurité des données, mais ne dit rien sur la façon dont cette sécurité doit être implémentée.

S’appuyer sur les exigences de la Certification HDS peut donc les aider à se conformer au RGPD. Néanmoins, les entreprises restent tenues de se conformer à toutes les exigences qui ne sont pas couvertes par la Certification HDS.

Stephanie @ Pryv

June, 2020

Sources:

• https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante
• https://esante.gouv.fr/services/hebergeurs-de-donnees-de-sante/les-referentiels-de-la-procedure-de-certification

• https://esante.gouv.fr/sites/default/files/media_entity/documents/hds_referentiel_de_certification_v1.1f_mai2018.pdf
• https://healthcare.orange.com/fr/actualites/rgpd-et-hds-quelle-compatibilite/
• https://www.linkedin.com/pulse/certification-hds-et-rgpd-une-analyse-comparative-francois-kaag
• https://www.village-justice.com/articles/hebergement-donnee-sante-rgpd,30355.html

• https://esante.gouv.fr/sites/default/files/media_entity/documents/asip—exigences-et-controles-du-referentiel-hds—-v1.1—en.pdf

The post Pourquoi la Certification HDS ne garantit pas votre conformité au RGPD? appeared first on Pryv.