วันพุธที่ 22 พฤษภาคม มีการเปิดตัว HDS เวอร์ชันใหม่ ซึ่งเป็นพื้นที่เก็บข้อมูลด้านสุขภาพสำหรับระบบนิเวศของฝรั่งเศส ด้วยเกณฑ์ใหม่ (รวมถึงการแปลข้อมูลในยุโรป) การอัปเดต HDS จะทำให้สามารถก้าวไปสู่ "ความเป็นอิสระเชิงกลยุทธ์" สำหรับบางคนได้ แต่ก็ยังขาดเกณฑ์อธิปไตยในการปกป้องข้อมูลสุขภาพของเราอย่างแท้จริง คนอื่น ๆ เชื่อ
นี่เป็นเหตุการณ์ที่ไม่มีใครสังเกตเห็นในวันแรกของ VivaTech แต่ถือเป็น “ขั้นตอนสำคัญในการปกป้องข้อมูลด้านสุขภาพ»ของชาวฝรั่งเศส ในวันพุธที่ 22 พฤษภาคม การอัปเดตพื้นที่เก็บข้อมูล "โฮสต์ข้อมูลสุขภาพ" หรือ "HDS" ได้ถูกนำเสนอแก่สถานประกอบการด้านสุขภาพและการแพทย์-สังคม ตลอดจนผู้ผลิตและผู้มีบทบาทในระบบคลาวด์ของฝรั่งเศส
HDS กำหนดข้อกำหนดจำนวนหนึ่งสำหรับโฮสต์ ตราบใดที่ข้อมูลสุขภาพ เช่น การวินิจฉัย การรักษา ผลเลือด หรือข้อมูลที่เกี่ยวข้องกับจีโนมยังเกี่ยวข้อง ข้อมูลสุขภาพส่วนบุคคลประเภทนี้ ไม่ว่าจะรวบรวมเพื่อการป้องกัน ดูแล ติดตาม หรือเพื่อการแพทย์-สังคม”ส่งผลกระทบต่อความเป็นส่วนตัวของเรา” ในขณะที่เป็นตัวแทนของ “ประเด็นยุทธศาสตร์ที่สำคัญ(…)” มารินา เฟอร์รารี รัฐมนตรีต่างประเทศด้านดิจิทัล อธิบาย ซึ่งเข้ามาปิดสิ่งที่ถูกมองว่าเป็นก้าวสำคัญสำหรับ “รับประกันความเป็นอิสระเชิงกลยุทธ์ของเรา”
มันจำเป็น“สร้างการป้องกันที่ชัดเจนในฝรั่งเศสและยุโรป เพื่อให้พลเมืองของเราและผู้มีส่วนได้ส่วนเสียด้านสุขภาพของเราสามารถมั่นใจในผู้ที่โฮสต์ข้อมูลของตนในปัจจุบัน» เป็นผู้นำทางการเมืองต่อไป ในบรรดาการป้องกันเหล่านี้ ประการหนึ่งคือพื้นที่เก็บข้อมูล HDS
“แนวทางเชิงปฏิบัติ”
สร้างขึ้นในปี 2018 วัตถุประสงค์ของ HDS คือการกำหนดกฎจำนวนหนึ่งกับผู้ให้บริการคลาวด์ (การประมวลผลแบบคลาวด์) ในแต่ละครั้งที่พวกเขาประมวลผลข้อมูลด้านสุขภาพ ซึ่งข้อมูลที่ถือว่าละเอียดอ่อนเป็นพิเศษ หากเป็นไปตามเงื่อนไขของ HDS พวกเขาจะได้รับใบรับรองอันล้ำค่านี้เป็นเวลาสามปี ซึ่งเป็นการรับประกันว่าพวกเขาปฏิบัติตามข้อกำหนดของฉลากในจดหมาย จุดสำคัญ: กรอบการทำงานนี้เกี่ยวข้องกับการบริหารความเสี่ยง ไม่ใช่ความปลอดภัยทางไซเบอร์
“HDS ยึดตาม ISO 27001 ซึ่งเป็นมาตรฐานที่ระบุระบบการจัดการความปลอดภัยของข้อมูล” Emmanuel Meyrieux ผู้จัดการฝ่ายความปลอดภัยลูกค้าของ OVHcloud อธิบายให้สัมภาษณ์ในวันรุ่งขึ้นโดย01net.com- หากต้องการค้นหาข้อกำหนดในแง่ของการเข้ารหัสหรือ "การกำหนดค่าของเครื่องที่ใช้งานตามข้อกำหนดของ ANSSI" เราต้องไปที่มาตรฐาน SecNumCloud ซึ่งเป็นป้ายกำกับความปลอดภัยทางไซเบอร์สูงสุดของฝรั่งเศสแทน ปัจจุบันมีโฮสต์ที่ได้รับการรับรอง HDS เกือบ 302 แห่ง
ได้รับการออกแบบก่อนข้อความหลักของยุโรปเกี่ยวกับข้อมูลส่วนบุคคล GDPR มีการพูดถึงการอัปเดตตั้งแต่ปี 2022 การแก้ไขมีการติดตามการเดินทางอันยาวนานก่อนที่จะมีผล: เลื่อนออกไป เป็นเรื่องของการปรึกษาหารือสาธารณะ จากนั้นแจ้งเตือนไปยังคณะกรรมาธิการยุโรป ก่อนที่จะตกอยู่ภายใต้พระราชกฤษฎีกาเมื่อวันที่ 16 พฤษภาคมในที่สุด
และในการแก้ไขครั้งนี้ “โอ้ไม่ได้พยายามที่จะมีแนวทางปฏิบัติกล่าวคือซึ่งยังคงสนับสนุน 300 และบางโฮสต์ได้รับการรับรองแล้วและใครในขณะเดียวกันแสดงให้เห็นเส้นทางสู่อธิปไตยมากขึ้น» ระบุ Hela Ghariani ผู้แทนด้านสุขภาพดิจิทัล ในระหว่างงาน วัตถุประสงค์? ขอให้ฝรั่งเศสและยุโรปบรรลุผล”ความเป็นอิสระเชิงกลยุทธ์เหนือการจัดการข้อมูลของเรา ซึ่งในแง่ราคา เป็นสิ่งที่ใกล้ชิดที่สุด เป็นส่วนตัวที่สุด แต่ยังมีประโยชน์ทางเศรษฐกิจและเชิงกลยุทธ์ที่สำคัญเป็นพิเศษด้วย“เธอกล่าวเสริม
การอัปเดตจะค่อยๆ เสริมสร้างอำนาจอธิปไตยของข้อมูล
การเปลี่ยนแปลงหลักในเวอร์ชันที่สองของที่เก็บ: HDS-ค่อยๆ เสริมสร้างอำนาจอธิปไตยของข้อมูล” พร้อมข้อกำหนดใหม่:
- การจัดเก็บข้อมูลด้านสุขภาพต้องทำในยุโรป (ในเขตเศรษฐกิจยุโรป)
- เจ้าภาพจะต้องปฏิบัติตามพันธกรณีใหม่ของความโปร่งใส ซึ่งประกอบด้วยการแจ้งให้ลูกค้าทราบถึงความเสี่ยงที่เกี่ยวข้องกับกฎหมายนอกอาณาเขต เขาก็ต้องอธิบายด้วย”มาตรการด้านเทคนิคและกฎหมายที่นำมาใช้เพื่อจำกัดมาตรการดังกล่าว-
- เจ้าบ้านก็ต้อง”เผยแพร่แผนที่การถ่ายโอนข้อมูลที่เป็นไปได้ที่โฮสต์ไปยังประเทศที่ไม่ได้อยู่ในเขตเศรษฐกิจยุโรปบนเว็บไซต์ของตนต่อสาธารณะ-
กล่าวอีกนัยหนึ่ง “มีพันธกรณีของความโปร่งใสของสาธารณชนทั่วไปในท้ายที่สุดแล้ว สถานะของความเสี่ยงที่เจ้าภาพแสดงต่อข้อมูลที่เกี่ยวข้องกับความต่างประเทศนอกสหภาพยุโรป» สรุป Émilie Passemard หัวหน้าแผนกกฎระเบียบและการปฏิบัติตามกฎระเบียบของ Digital Health Delegation (DNS) ระหว่างการเปิดตัว
โดยเป็นรูปธรรม หากกฎหมายนอกอาณาเขตของประเทศที่สามสำหรับเขตเศรษฐกิจยุโรปนำไปใช้กับเจ้าบ้านดังกล่าว:
- ส่วนหลังต้องกล่าวถึงและอ้างถึงประเทศที่เกี่ยวข้อง จำเป็นต้องระบุกฎหมายนอกอาณาเขตที่เกี่ยวข้อง เช่น หากเป็นบริษัทในเครือของบริษัทอเมริกัน ก็จำเป็นต้องกล่าวถึงกฎหมายของฟีซ่า, การกระทำบนคลาวด์ ฯลฯ
- จากนั้นเจ้าบ้านจะต้องส่งคำตัดสินที่เพียงพอ ซึ่งเป็นข้อตกลงจากคณะกรรมาธิการยุโรปซึ่งรับรู้ว่าชาวยุโรปได้รับประโยชน์จากการค้ำประกันที่เทียบเท่ากันในประเทศที่เป็นปัญหา ต่อการรับประกันที่พวกเขามีสิทธิ์ในยุโรป
-หากไม่ทำเช่นนี้ ก็จะมีการรับประกันที่เหมาะสมซึ่งแน่นอนว่าจะต้องดำเนินการเพื่อให้มั่นใจว่าสอดคล้องกับ GDPR และจะต้องแจ้งให้ลูกค้าทราบ», เอมิลี ปาสเซมาร์ดกล่าวเสริม ที่นั่นคณะกรรมการเทคโนโลยีสารสนเทศและเสรีภาพแห่งชาติ (CNIL)จะเป็นหน่วยงานที่จะตรวจสอบข้อกำหนดทางกฎหมายนี้ ไม่ใช่หน่วยงานรับรอง เธอระบุ
อ่านเพิ่มเติม:ข้อมูลด้านสุขภาพของเรามีความเสี่ยงหรือไม่? รายการใหม่ของเรา Clic Droit ถอดรหัส EHDS
6 เดือนสำหรับหน่วยงานรับรอง 24 เดือนสำหรับเจ้าบ้าน
หน่วยรับรองมีเวลาหกเดือนจนถึงวันที่ 16 พฤศจิกายน 2567 เพื่อให้สามารถรับรองการสมัครตามกรอบใหม่ได้ และสำหรับโฮสต์ที่ผ่านการรับรองแล้ว จะมีระยะเวลาการรับรอง 24 เดือน
แม้ว่าแทบจะไม่มีประสิทธิภาพ แต่พื้นที่เก็บข้อมูลจะต้องได้รับการอัปเดตอีกครั้งเมื่อบรรลุข้อตกลงที่ระดับเทียบเท่ากับยุโรป ซึ่งเป็นพื้นที่เก็บข้อมูลความปลอดภัยทางไซเบอร์บนคลาวด์ในอนาคต(อียูซีเอส- แม้ว่าจะมีการพูดถึงการแปลข้อมูลในยุโรป และต้องการข้อมูลเพิ่มเติมเกี่ยวกับปัญหากฎหมายนอกอาณาเขต แต่ HDS ที่แก้ไขไม่ได้หมายความถึงความคุ้มกันจากกฎหมายนอกอาณาเขต
อ่านเพิ่มเติม:EUCS: เกณฑ์อธิปไตยถูกวางไว้บนชั้นวางหรือไม่? การลงคะแนนเสียงถูกเลื่อนออกไปจนถึงเดือนมิถุนายน
ไม่มีเกณฑ์สำหรับการยกเว้นต่อกฎนอกอาณาเขตและที่ไม่ใช่ของยุโรป
ประเด็นที่น่าเสียใจสำหรับ MP Philippe Latombe ซึ่งพูดในพิธีเปิดการเปิดตัว หากโมเด็มที่เลือกตรวจพบ “ขั้นตอนแรก"เราต้องเดินหน้าต่อไป" เขากล่าว สมาชิกรัฐสภาเสียใจกับข้อบกพร่องสองประการ: “การไม่มีข้อมูลและอธิปไตยที่เป็นโฮสต์ และไม่มีเกณฑ์ความปลอดภัยทางไซเบอร์เพิ่มเติม", โดยเฉพาะ "ในบริบททางภูมิรัฐศาสตร์ที่ไม่เสถียรในปัจจุบัน โดยมีการโจมตีทางไซเบอร์ที่มีนัยสำคัญมากขึ้นทั้งในด้านจำนวนและเชิงลึก-
-ในที่เก็บ HDS"เขาพูดต่อ“มีเกณฑ์ในการแปลข้อมูล แต่ไม่ใช่เกณฑ์ของการคุ้มกันต่อกฎนอกอาณาเขตและนอกยุโรป»: ความท้าทายในสมัยที่ประธานาธิบดีโจ ไบเดน แห่งสหรัฐอเมริกา ออกคำสั่งฝ่ายบริหารอธิบายอย่างชัดเจนว่าข้อมูลที่ละเอียดอ่อนของชาวอเมริกันจะต้องไม่ถูกเก็บไว้โดยผู้ให้บริการคลาวด์ที่ไม่ใช่ชาวอเมริกัน โดยเน้นย้ำ MP
-ดังนั้นหากชาวอเมริกันกล่าวว่าข้อมูลด้านสุขภาพของชาวอเมริกันมีความอ่อนไหวเป็นพิเศษ การไม่เปิดเผยตัวตนในสถานะปัจจุบัน (...)ไม่มีการประกันอีกต่อไปและว่าเราต้องปกป้องพวกเขาจากกฎนอกอาณาเขตที่ไม่ใช่ของอเมริกา ทำไมเราไม่ทำแบบเดียวกันล่ะ?» สอบถามเจ้าหน้าที่ที่ได้รับเลือก
ประการหลัง ข้อกำหนดสำหรับการแปลข้อมูลในยุโรปไม่เพียงพอที่จะปกป้องข้อมูลด้านสุขภาพ สะท้อนถึงจดหมายเปิดผนึกที่เผยแพร่ในวันเดียวกันและลงนามโดย OVHCloud, Cloud Temple, Docaposte, Outscale และ Drive ในข้อความนี้ กลุ่มผู้ลงนามชาวฝรั่งเศสที่ลงนามรับรู้ว่าฉบับแก้ไขคือ “ก้าวแรกที่เป็นบวก-แต่ที่ต้องนำหน้าสิ่งอื่น: การแก้ไขพื้นที่เก็บข้อมูลครั้งต่อไปซึ่งวางแผนไว้แล้วสำหรับปี 2570 จะต้องรับประกันอำนาจอธิปไตยที่แท้จริงของข้อมูลด้านสุขภาพโดยกำหนดให้มีภูมิคุ้มกันจากกฎหมายนอกอาณาเขต» พวกเขาขอร้อง
เพื่อเป็นหลักฐาน: ข้อตกลงระหว่างประธานาธิบดีจีน Xi Jinping และฮังการีในการตั้งค่าระบบคลาวด์แบบไฮบริด ซึ่งเทียบเท่ากับ Blue หรือ S3NS ในประเทศนี้ เน้นย้ำ MP Latombe โครงสร้างพื้นฐานคลาวด์ในอนาคตจะช่วยให้บริษัทจีนมีข้อมูลที่โฮสต์อยู่ในยุโรป แต่บริษัทจีนสามารถเข้าถึงได้... เพียงพอที่จะก่อให้เกิดการละเมิดในวัตถุประสงค์ของอำนาจอธิปไตยอันศักดิ์สิทธิ์ซึ่งสนับสนุนโดยผู้บริหารชาวฝรั่งเศสและชาวยุโรป
หมายเหตุบรรณาธิการ: ตรงกันข้ามกับสิ่งที่เราคัดลอกไว้หลังจากการสัมภาษณ์กับ Emmanuel Meyrieux ผู้จัดการฝ่ายรักษาความปลอดภัยของลูกค้าที่ OVHcloud HDS ยึดตามมาตรฐาน ISO 27001 ไม่ใช่ ISO 2020 ซึ่งเป็นข้อผิดพลาดในการถอดความซึ่งได้รับการแก้ไขแล้วในวันจันทร์ที่ 27 พฤษภาคมนี้
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
