The post Euris and Pryv simplify personal data management: A ready-to-use solution to meet GDPR and Health Data Hosting requirements. appeared first on Pryv.
]]>A ready-to-use data management solution to achieve GDPR compliance and meet health data hosting requirements.
Companies willing to collect and use personal health data can now benefit from a complete, ready-to-use, and scalable solution, offered by Euris Health Cloud® (health data hosting) and Pryv (personal data and privacy compliance middleware). In Europe, the solution combines a certified HDS (*) hosting offer for security and a personal healthcare data management service for privacy, allowing e-health actors to rigorously manage personal health data and quickly create applications that respect the rights of the patient at an attractive cost.
”Contrary to what companies may believe, the HDS Certification of their hosting provider in no way implies their compliance with the GDPR. All it tells them is that their host offers sufficient data protection guarantees.” says Pierre-Mikael Legris, CEO at Pryv “The complementarity of HDS hosting and GDPR compliance solutions is perfectly illustrated by our partnership with Euris.”
“Combining our expertise with Pryv knowledge and Pryv.io capabilities, we provide a unique and proven off-the-shelf solution that allows companies to achieve an optimal data management and protection solution globally through a new bundle offer for startups and innovative e-health projects.“ says Pedro Lucas, CEO at Euris Health Cloud®.
With the offerings Cloud Santé® PRIVACY and Cloud Santé® PRIVACY STARTUP by Euris and Pryv, companies operating in Europe can now meet both French HDS and EU GDPR requirements with no expertise required on their part, allowing them to focus on their core business and increase user engagement through trust and transparency.
About Euris Health Cloud®: www.euris.com
Euris Health Cloud® is a connected healthcare operator, specialized in the hosting of healthcare data. Euris Health Cloud® provides a global hosting infrastructure for personal health data, in compliance with local regulations: EU (HDS: 2018 &ISO 27001 2013), US (HIPAA), China (CSL).
Thanks to a unique marketplace model, Euris Health Cloud® also offers a complete range of interoperable services and solutions, facilitating the deployment of e-health projects: strong authentication, drive, archiving, backup, anonymization, Big Data, Business Intelligence, IoT, telemedicine, CRM, PRM and Healthcare Data Warehouse.
About Pryv: pryv.gihub.io/www
Pryv.io is an extensible personal data lifecycle management platform specifically engineered to empower developers to rapidly create and scale breakthrough GDPR and HIPAA compliant products, services, and experiences. The software has been developed to accommodate rapid integration. It comes with turnkey IoT connectivity, a secure storage vault, fine-grained consent management, and comprehensive auditing capability that radically cut IT development costs and accelerate time-to-benefit while addressing the most stringent data protection requirements.
(*) Certified HDS: « Hébergement de Données de Santé » (French Health Data Hosting certification based on ISO 27001 standard and GDPR regulation)
The post Euris and Pryv simplify personal data management: A ready-to-use solution to meet GDPR and Health Data Hosting requirements. appeared first on Pryv.
]]>The post Pourquoi la Certification HDS ne garantit pas votre conformité au RGPD? appeared first on Pryv.
]]>La confusion vient du fait que, malgré tout, faire appel à un sous-traitant certifié HDS pourra souvent aider le Responsable du traitement à se conformer au RGPD… Qu’en est-il donc ?
Selon le RGPD, une entreprise qui collecte et traite des données à caractère personnel doit remplir plusieurs exigences. Notamment :
Cependant, il n’est pas exclu que cette entreprise fasse appel à des entreprises externes pour l’aider. Par exemple, une entreprise peut décider d’externaliser les données qu’elle collecte auprès d’un hébergeur sous-traitant, lui permettant ainsi de ne pas devoir elle-même implémenter une solution d’hébergement, ni de devoir en assurer la sécurité.
Mais dans ce cas : comment s’assurer qu’un hébergeur offre des garanties suffisantes en matière de protection des données ? Comment s’assurer que les services qu’il propose sont sécurisés ? Et comment garantir que les droits de vos utilisateurs seront exercés ?
En France, ce problème est résolu par la Certification HDS.
Selon l’art. L1111-8 CSP, toute entreprise qui héberge des données personnelles de santé pour le compte d’un tiers est soumise à l’obligation d’une Certification HDS.
Pour obtenir cette certification, l’hébergeur devra démontrer qu’il remplit plusieurs exigences.Notamment:
Ainsi, toute entreprise qui fait appel aux services d’un hébergeur certifié aura la garantie que celui-ci offre des produits et/ou services suffisamment sécurisés (en vertu des normes ISO correspondantes), et qu’il respecte la confidentialité des données hébergées.
La Certification HDS se décompose en six niveaux d’activité différents pour deux métiers d’hébergement distincts. On a donc :
Un certificat “hébergeur d’infrastructure physique” pour:
Un certificat “hébergeurs infogéreurs” pour:
Un hébergeur n’est certifié que pour les services qu’il propose ; il ne répond donc que des exigences liées à ses activités. Les entreprises doivent donc vérifier ce pour quoi leurs hébergeurs sont certifiés, et être au clair sur les services qui leur sont fournis.
Même si une entreprise fait appel à un hébergeur certifié HDS pour les données qu’elle collecte, cela ne dit rien sur sa propre conformité au regard du RGPD.
L’un des scénarios les plus courants est celui du “Shadow IT”. Une entreprise peut utiliser le système sécurisé d’un hébergeur pour ses données, mais si ses employés en gardent une copie sur des systèmes non sécurisés, alors ces données ne seront pas protégées.
L’entreprise doit donc toujours vérifier qu’elle remplit elle-même toutes les exigences du RGPD, même si son hébergeur en remplit certaines de son côté. De plus, il faut garder à l’esprit que l’externalisation des données repose sur un modèle de responsabilité partagée.
Enfin, il faut savoir que les exigences de la Certification HDS ne couvrent pas toutes les exigences du RGPD. Dès lors, même si une entreprise décidait de remplir elle-même toutes les exigences de la certification, elle ne serait toujours pas conforme au RGPD.
Ainsi, même en faisant appel à un hébergeur certifié HDS pour les 6 niveaux d’activité, une entreprise devra toujours veiller à se conformer elle-même, entièrement, au RGPD.
Un hébergeur certifié HDS offre simplement des solutions fiables sur lesquelles les entreprises peuvent s’appuyer pour atteindre leur propre conformité.
Le RGPD ne donne que les lignes directrices à suivre pour les entreprises. Par exemple, l’art. 32 RGPD impose aux entreprises d’assurer la sécurité des données, mais ne dit rien sur la façon dont cette sécurité doit être implémentée.
S’appuyer sur les exigences de la Certification HDS peut donc les aider à se conformer au RGPD. Néanmoins, les entreprises restent tenues de se conformer à toutes les exigences qui ne sont pas couvertes par la Certification HDS.
Stephanie @ Pryv
June, 2020
Sources:
The post Pourquoi la Certification HDS ne garantit pas votre conformité au RGPD? appeared first on Pryv.
]]>