Créez des applications permettant de stocker, de traiter et de transmettre les données de santé sensibles, en toute conformité avec vos obligations de confidentialité et de sécurité.
Chez AWS, la sécurité et la confidentialité constituent notre principale priorité
Spécifiquement pour le secteur des soins de santé, nous fournissons un certain nombre de certifications et d'accréditations internationales (HIPAA, HITRUST, RGPD et plus encore) qui vous permettent de stocker, de traiter ou de transmettre vos données les plus sensibles dans le cloud et d'améliorer votre posture de sécurité et de conformité.
Rôles et responsabilités
Vos données stockées dans AWS sont vos données. Notre modèle de sécurité partagée garantit que vous gardez en permanence la propriété et le contrôle de vos données. Nous proposons un ensemble de solutions robustes pour protéger les données de soins de santé et maintenir leur disponibilité immédiate. AWS fournit l'accès à plus de 130 services éligibles HIPAA et de nombreuses certifications pour les normes informatiques et de conformité internationales propres au secteur, notamment : RGPD, HITRUST, ENS High, HDS et C5. Par ailleurs, avec deux fois plus de zones de disponibilité que tout autre fournisseur cloud, les organisations de santé peuvent tirer parti de l'échelle, de la sécurité et de la fiabilité qu'offre AWS.
AWS et confidentialité des données
AWS attache une grande importance à la confidentialité des données : nous faisons tout notre possible pour conserver durablement la confiance de nos clients. Ceux-ci ont toujours la possibilité de gérer l'accès à leurs services et à leur contenu. Nous n'accédons ni n'utilisons le contenu du client à quelque fin que ce soit sans le consentement du client. Les clients choisissent la ou les régions AWS dans lesquelles le contenu sera stocké. Nous ne déplacerons ni ne répliquerons le contenu du client en dehors de la ou des régions choisies par ce dernier sans son consentement.
Responsabilité partagée
Pour appréhender le processus de création d'applications de soins de santé sur AWS, vous devez d'abord comprendre le modèle de responsabilité partagée. Dans le cloud AWS, la gestion de la sécurité est partagée entre AWS et le client. Autrement dit, certains aspects de la sécurité (comme la sécurité physique de l'infrastructure sous-jacente) sont désormais la responsabilité d'AWS. Cependant, les clients restent responsables d'autres éléments liés à la sécurité, notamment les mesures pour protéger leurs applications, comme cela serait le cas si les applications étaient exécutées dans un centre de données classique.
Alignements/cadres en matière de conformité pour le secteur des soins de santé AWS
- Les certifications de conformité AWS démontrent la « sécurité du cloud » et l'efficacité opérationnelle des contrôles AWS. Les clients sont responsables de la sécurité dans le cloud.
- Les clients héritent de ces certifications de conformité et peuvent les utiliser pour faire partiellement montre de leur conformité aux auditeurs et régulateurs.
Les certifications et attestations de conformité sont évaluées par un auditeur tiers indépendant et donnent lieu à une certification, un rapport d'audit ou une attestation de conformité.
Il incombe toujours aux clients AWS de s'assurer du respect des législations et réglementations de conformité applicables. Dans certains cas, AWS fournit des fonctionnalités (par exemple des fonctions de sécurité), des aides à la conformité et des accords juridiques (par exemple le contrat de traitement de données AWS et l'annexe au contrat partenaire) pour soutenir la conformité des clients.
Aucune certification officielle n'est disponible pour les prestataires de services cloud (notamment à des fins de distribution) dans les domaines de la législation et de la réglementation.
Les alignements et cadres de conformité comprennent les exigences de sécurité ou de conformité publiées dans un cadre donné, par exemple pour un secteur ou une fonction précis. AWS fournit des fonctionnalités (par exemple des fonctionnalités de sécurité) et des aides (notamment des recueils de conformité, des documents de mappage et des livres blancs) pour ces types de programmes.
Il est important de faire état du modèle de responsabilité partagée quand on aborde la conformité réglementaire. AWS offre des technologies ultramodernes, respecte autant que possible les certifications et attestations de pointe à l'échelle internationale et régionale et s'aligne sur les cadres sectoriels pour aider à faciliter la mise en œuvre conforme des services AWS en vue de la conformité au secteur des soins de santé. En vertu du modèle de responsabilité partagée, les clients peuvent hériter des contrôles et capacités conformes pour satisfaire aux exigences de conformité du secteur des soins de santé dans la région en question.
Les informations ci-dessous présentent les certifications, les lois en matière de soins de santé et les cadres pertinents représentatifs.
Certifications et attestations clés
ISO 9001
ISO 27001, 27017, 27018
SOC 1, 2, 3
PCI DSS, niveau 1
FedRAMP
Cyber Essentials Plus
Guide des exigences de sécurité (SRG) du département de la Défense des États-Unis (DoD)
Lois en matière de soins de santé : réglementations et confidentialité
RGPD
HIPAA
HITECH
PDPA-2012 (Singapour)
LPRPDE (Canada)
Loi sur la protection des données (Australie)
PDPA – 2010 (Malaisie)
Alignements et cadres clés
Cloud Security Alliance (CSA)
Bouclier de protection des données UE – États-Unis
NIST
Contrôles informatiques BioPhorum
États-Unis
AWS et FedRAMP
Le Federal Risk and Authorization Management Program (FedRAMP) est un programme de l'État fédéral américain qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services cloud. Le programme FedRAMP est obligatoire pour toutes les agences fédérales américaines et tous les services cloud, y compris le Département américain de la Santé et des Services sociaux.
Deux autorisations d'agence FedRAMP distinctes nous ont été délivrées. La première couvre la région AWS GovCloud (US) et l'autre s'applique aux régions AWS USA Est et Ouest.
AWS et la conformité HITRUST
Le cadre HITRUST CSF (Cloud Security Framework) sert à unifier les contrôles de sécurité basés sur des aspects de la législation fédérale américaine (comme les lois HIPAA et HITECH), de la loi de l'État (Standards for the Protection of Personal Information of Residents of the Commonwealth du Massachusetts) et des normes de conformité non gouvernementales reconnues (comme PCI DSS) en un cadre unique et sur mesure, destiné à répondre aux exigences en matière de soins de santé.
Certains services AWS ont été évalués dans le cadre du programme d'assurance HITRUST CSF par un expert accrédité HITRUST CSF comme étant conformes aux critères de la certification HITRUST CSF v9.3.
Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre les données de santé protégées dans les services conformes à la législation HIPAA.
Conformité AWS, HIPAA et HITECH
La loi américaine Health Insurance Portability and Accountability Act (HIPAA) de 1996 est conçue pour qu'il soit plus facile pour les travailleurs américains de conserver leur couverture d'assurance maladie lorsqu'ils changent de travail ou qu'ils perdent leur emploi. La loi cherche également à favoriser l'adoption des dossiers médicaux informatisés pour accroître l'efficacité et la qualité du système de santé américain grâce à un meilleur partage d'informations.
En 2009, la loi Health Information Technology for Economic and Clinical Health Act (HITECH) a permis de développer les règles définies par la loi HIPAA. Ensemble, les lois HIPAA et HITECH établissent un ensemble de normes fédérales destinées à préserver la sécurité et la confidentialité des données de santé protégées. Ces dispositions figurent dans ce que l'on appelle les règles de « simplification administrative ». Les lois HIPAA et HITECH imposent des exigences concernant l'utilisation et la divulgation des données de santé protégées, les mesures de protection appropriées des données de santé, les droits individuels et les responsabilités administratives.
Canada
Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA)
La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne régissant la collecte, l'utilisation et la divulgation des renseignements personnels dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes.
La Health Information Act (HIA) est la loi sur le respect de la vie privée de l'Alberta, portant sur la collecte, l'utilisation, la divulgation et la protection des renseignements sur la santé placés sous la garde ou le contrôle d'un dépositaire.
La région AWS Canada (Centre) est actuellement disponible pour plusieurs services, par exemple Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS).
Loi sur la protection des renseignements personnels sur la santé (Ontario)
La loi sur la protection des renseignements personnels sur la santé (Personal Health Information Protection Act, PHIPA) représente la loi de l'Ontario sur la confidentialité, qui s'applique à la collecte, à l'utilisation et à la diffusion des données de santé personnelles (PHI) lors de la fourniture ou de la facilitation de services de soins de santé.
Royaume-Uni
Sécurité dans le cloud en matière de santé et de services sociaux – Guide de bonnes pratiques
Health and Social Care Cloud Security – Good Practice Guide (Sécurité dans le cloud en matière de santé et de services sociaux – Guide de bonnes pratiques) a été conjointement écrit par NHS Digital, NHS England, le ministère de la Santé et de l'Aide sociale et NHS Improvement.
Ce guide présente les mesures de protection qui doivent être mises en place pour permettre aux organisations de santé et de services sociaux de stocker en toute sécurité les données de santé et de services sociaux (notamment les renseignements confidentiels des patients) dans le cloud public (y compris les solutions reposant sur le traitement des données à l'étranger).
AWS garantit la conformité et la prise en charge à travers la classification des charges de travail déployées sur AWS et la mise en œuvre de contrôles de la classe appropriée, respectivement. Le livre blanc intitulé « Utilisation d'AWS dans le contexte du guide de sécurité dans le cloud du NHS » présente les activités détaillées de gestion des risques que les organisations doivent entreprendre, en particulier les mesures techniques adaptées au niveau de sécurité requis.
France
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé (HDS) – Présentée par l'agence gouvernementale française pour la santé, « Agence du Numérique en Santé » (ANS), la certification HDS (Hébergeur de Données de Santé) a pour objectif de renforcer la sécurité et la protection des données personnelles de santé.
Pour être certifié HDS, un fournisseur de TI doit être certifié ISO 27001. Cela signifie que les services couverts par notre certification ISO 27001 sont inclus dans le champ d'application de la certification HDS. Les services AWS concernés par la certification ISO/CEI 27001:2013 sont indiqués sur la page web dédiée à la certification ISO.
Allemagne
Conformité DiGAV
La loi DiGAV a été instaurée en avril 2020 pour soutenir la dématérialisation du système de santé allemand. Avec la loi DiGAV, certaines applications de soins de santé peuvent être reconnues comme étant remboursables en vertu du régime légal d'assurance maladie allemand. Cependant, pour que les organisations soient conformes à la loi DiGAV et éligibles au remboursement dans le cadre de cet instrument juridique, elles doivent démontrer que leurs applications satisfont aux exigences de protection des données de la loi DiGAV. Elles doivent notamment prouver que les données personnelles sont traitées exclusivement au sein de l'Espace économique européen (EEA) ou dans un pays faisant l'objet d'une décision d'adéquation de la Commission européenne en vertu de l'article 45 du Règlement général sur la protection des données (RGPD).
Dans un contexte marqué par la migration des charges de travail relatives aux soins de santé dans le cloud, AWS offre un certain nombre d'outils de pointe pour aider les clients à répondre aux exigences réglementaires et législatives locales, notamment la loi DVG (German Digital Supply Act) et la loi DiGAV (Digital Health Applications Ordinance) associée.
Japon
Loi sur la protection des données à caractère personnel (APPI)
La loi sur la protection des informations à caractère personnel (APPI) est la principale législation traitant des données personnelles au Japon.
L'APPI s'applique à tous les exploitants du secteur (personnes et entités) qui traitent des informations à caractère personnel. L'APPI fait également la distinction entre les informations à caractère personnel et les données à caractère personnel (ce que l'APPI définit comme les informations à caractère personnel qui constituent une partie de la base de données des informations à caractère personnel). Les obligations incombant aux exploitants du secteur varient selon qu'ils procèdent à l'acquisition, à l'utilisation ou à la fourniture d'informations ou de données à caractère personnel.
AWS met en œuvre et maintient des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du cloud AWS en vertu de certifications et de cadres d'assurance de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.
Singapour
Loi sur la protection des données personnelles de 2012 (PDPA)
La loi de 2012 sur la protection des données personnelles (PDPA) est l'instrument juridique qui s'applique à la protection des données personnelles à Singapour, notamment lorsque celles-ci sont transférées à l'international pour être traitées. La loi PDPA régit la collecte, l'utilisation, la divulgation et la protection des données personnelles.
AWS met en œuvre et maintient des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du cloud AWS en vertu de certifications et de cadres d'assurance de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.
AWS accompagne de nombreuses organisations de soins de santé à travers le monde en fournissant la technologie nécessaire pour se déployer à la bonne vitesse afin d'avoir un impact positif. Les domaines ainsi concernés vont du partage des données médicales au diagnostic des maladies jusque-là inconnues, en passant par l'identification de nouveaux virus pour prévenir d'autres pandémies et de multiples autres fonctions essentielles. AWS s'y attelle tout en permettant aux clients de satisfaire aux exigences de sécurité et de conformité les plus élevées. À titre d'exemple, l'Integrated Health Information Systems (IHiS) de Singapour, l'agence chargée de la fourniture des technologies habilitantes soutenant le système de santé public singapourien, s'est tournée vers AWS pour mettre à l'échelle en toute sécurité ses systèmes informatiques d'appui à la vaccination. Objectif : prendre très rapidement en charge des charges considérablement élevées, en passant d'une prestation quotidienne de 8 000 vaccinations initialement à un pic de 80 000 vaccinations.
L'opération de mise à l'échelle s'est faite dans un délai de quatre semaines.