法國健康資料代管 (HDS)

關於 HDS

Hébergeurs de Données de Santé (HDS) 認證是雲端服務提供商等受法國法律規範的個人健康資料，並用於提供預防、診斷及其他健康服務的實體所必須取得。 HDS 法規由法國衛生部轄下的 ASIP SANTÉ 發布，負責推廣法國電子化醫療解決方案。

法國法律透過《法國公共衛生法典》 (第L.1111-8條) 規範健康資料的託管。 該準則規定，任何處理個人醫療資料的醫療機構——醫院、製藥公司、實驗室——必須使用經 HDS 認證的服務提供者。 在 2018 年 4 月，公共衛生法新條款第 R1111-8-8 條至第 R1111-11 條生效，將認證程序從法國衛生部授權改為由 BSI 等授權機構認證。

HDS 認證要求服務提供者實作措施，確保病患的個人健康資料受到保護、保持機密性且易於存取。 這些措施包括增強式驗證和授權程序、強固的備份系統和功能強大的加密方法。 HDS 還指定必須包含在與雲端服務提供者簽訂之合約中的強制性條款。 無論資料儲存在何處，這些需求皆適用。

Microsoft 和 HDS

Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 擁有健康資料寄存 (Hébergeurs de Données de Santé（HDS) ）認證，這是所有承載個人健康資料的實體所必須的，且受法國法律管轄。 此認證使 Microsoft 成為首家符合法國嚴格健康資料儲存與處理標準的主要雲端服務供應商。 根據 2018 年法國公共衛生法修訂版的要求，此認證對代管服務和雲端提供者提出了進階安全性和隱私權要求，以確保敏感性資料的機密性和完整性受到充分保護。

BSI 集團為獨立認證機構，經法國當局認可，負責進行 HDS 審計，負責審核並認證 Microsoft 符合 HDS 要求。

HDS 認證讓法國的醫療保健提供者使用 Microsoft 雲端服務，透過提升臨床和操作效率來節省成本，並為開發最先進的創新醫療保健解決方案開啟了一扇大門。 醫療提供者可以開發智慧應用程式，或利用第三方應用程式託管於Azure，實施預測分析，個人化醫療、遠距評估與治療病患 (遠距醫療) ，並強化治療性藥物監控。

嚴格的審計涵蓋了 Microsoft 為保護個人健康資料及保護其機密所採取的措施，包括：

• Microsoft 雲端服務的 ISO/IEC 27001:2013 資訊安全性管理認證 (每年審核是否符合合規性)。
• 基於符合 GDPR 合規性的高層級隱私權和 ISO/IEC 27018 實務規範以保護雲端中的個人資料。

Microsoft 範圍內的雲端平台與服務

• Azure。 HDS 認證適用於所列 Azure 合規性方案中符合 ISO/IEC 27001 標準以及在下列區域中佈建的 Azure 服務：
  • 法國中央
  • 法國南部
  • 德國北部
  • 德國西中部
  • 義大利北區
  • 北歐
  • 挪威東部
  • 挪威西
  • 波蘭中央
  • 西班牙中央
  • 瑞典中央
  • 瑞典南部
  • 西歐
• Dynamics 365。 HDS 認證適用於從法國和歐盟地區佈建的 Dynamics 365 Core Online Services。
• Microsoft Intune
• Microsoft 365。 HDS 證書適用於從法國及歐盟地區提供的 Microsoft 365 核心線上服務 。
• Power BI 雲端服務可作為獨立服務，或包含在 Microsoft 365 品牌方案或套件中

HDS 證書不適用於 Microsoft 的線上服務預覽版或預發布版。

稽核、報告和憑證

HDS 認證會對主控服務和雲端提供者的進階安全性和隱私權需求，以確保敏感性資料的機密性和完整性受到適當的保護。 Microsoft雲端服務 (包括Azure) 擁有 HDS 認證，這可參考 ASIP Santé HDS 認證主機名單。 請從 服務信託入口網站：GRC 評估報告 區下載最新的 ASIP Sante HDS 證書。

實作方法

• 合約條款：法國公共衛生法要求健康資料託管服務或雲端服務提供者與其客戶之間簽訂特定合約條款。 符合資格的客戶必須與他們的 Microsoft 授權連絡窗口連絡，才能在 Microsoft 線上服務上代管健康個人資料之前，先簽訂這些特定的合約條款。
• 健康和生命科學：協助建立 Azure 解決方案的案例概觀、解決方案指南、教學課程和其他資源。

使用 Microsoft Purview 合規管理工具來評估您的風險

Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能，幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• Azure 合規性文件
• Microsoft Online Services 條款
• Microsoft HDS 認證部落格
• Azure 地理學
• Azure 醫療
• Microsoft 的安全性
• Microsoft 信任中心的合規性