5 月 22 日星期三,新版 HDS 发布,该存储库托管法国生态系统的健康数据。有了新的标准(包括欧洲数据的本地化),更新 HDS 将使某些人有可能迈向“战略自主”。但其他人认为,仍然缺乏真正保护我们的健康数据的主权标准。
这是 VivaTech 第一天没有引起注意的事件,但它标志着“保护的重要一步健康数据» 法国人的。 5 月 22 日星期三,“健康数据主机”或“HDS”存储库的更新已提交给健康和医疗社会机构以及制造商和法国云提供商。
HDS对主机提出了一定数量的要求,只要涉及健康数据,例如诊断、治疗、血液结果或与基因组相关的信息。此类个人健康数据,无论是出于预防、护理、监测还是医疗社会目的而收集,“影响我们的隐私”,同时代表“重大战略问题(…)”,数字国务秘书玛丽娜·法拉利 (Marina Ferrari) 解释道,她结束了这被视为“重要一步”确保我们的战略自主权。”
有必要“在法国和欧洲建立明确的保障措施,以便我们的公民和健康利益相关者能够对目前托管其数据的人充满信心»,政治领袖继续说道。 HDS 存储库就是这些保护措施之一。
“务实的做法”
HDS 创建于 2018 年,其目标是在云提供商(云计算)每次处理健康数据(被认为特别敏感的数据)时施加一定数量的规则。如果他们满足 HDS 的条件,他们将获得这份珍贵的证书,有效期为三年,保证他们严格遵循标签的要求。要点:该框架涉及风险管理,而不是网络安全。
“HDS 基于 ISO 27001,这是一项指定信息安全管理系统的标准,”OVHcloud 客户安全经理 Emmanuel Meyrieux 在第二天接受采访时解释道。01网。后者回忆道,为了找到加密或“符合 ANSSI 要求的机器配置”方面的要求,我们必须转而采用 SecNumCloud 标准,这是法国最高的网络安全标签。如今,已有近 302 家 HDS 认证主机。
该修订版是在欧洲关于个人数据的主要文本 GDPR 之前设计的,自 2022 年起就有人讨论要对其进行更新。修订版在生效之前经历了漫长的过程:推迟,经过公众咨询,然后通知欧盟委员会,最终于 5 月 16 日成为一项法令的主题。
在这次修订中,“o没有尝试拥有务实的方法,也就是说继续支持 300 台和一些已经认证的主机,同时,展示了一条通往更多主权的道路»,在活动期间指定了数字健康代表 Hela Ghariani。目标?愿法国和欧洲实现“对我们的数据管理的战略自主权,这些数据是最亲密、最个人的,但也具有特别重要的经济和战略利益“,她补充道。
更新逐步强化数据主权
存储库第二个版本的主要变化:HDS«逐步强化数据主权”,提出了新的要求:
- 健康数据的存储必须在欧洲(欧洲经济区)进行;
- 东道主必须履行新的透明度义务,其中包括告知客户与域外立法相关的风险。他还必须解释“为限制它们而采取的技术和法律措施»;
- 主持人还必须“在其网站上公开其托管数据可能传输到不属于欧洲经济区的国家的地图»。
换句话说, ”最终,主办方对欧盟以外的外国人数据所带来的风险状况负有公开透明的义务»,数字健康代表团 (DNS) 监管与合规部门负责人 Émilie Passemard 在发布会上总结道。
具体而言,如果欧洲经济区第三国的域外法律适用于该东道国:
- 后者必须提及它,并引用有关国家。有必要具体说明相关的域外立法——例如,如果它是一家美国公司的子公司,则有必要提及外国情报监视法、云法等
- 然后东道国必须提交一份充分性决定——欧盟委员会的一份协议,该协议承认欧洲人在相关国家受益于与他们在欧洲有权享受的同等的保障。
«如果做不到这一点,当然必须采取适当的保证,以确保遵守 GDPR,并引起客户的注意»,埃米莉·帕斯马德补充道。那里国家信息技术和自由委员会 (CNIL)她指出,将是验证这一法律要求的机构,而不是认证机构。
认证机构 6 个月,主办方 24 个月
认证机构有六个月的时间直到 2024 年 11 月 16 日才能根据新框架对应用程序进行认证。对于已经获得认证的主机,他们的认证期限为24个月。
尽管收效甚微,但一旦在欧洲同等水平(未来的云网络安全存储库)达成协议,该存储库就必须再次更新(EUCS)。尽管欧洲有关于数据本地化的讨论,并要求提供有关域外法律问题的更多信息,但修订后的 HDS 并不意味着不受域外法律的豁免。
没有域外和非欧洲规则的豁免标准
对于在发布会开幕式上发表讲话的议员 Philippe Latombe 来说,这是令人遗憾的一点。如果当选的调制解调器认识到“第一步“,我们必须走得更远,”他报告道。议员对两个缺点表示遗憾:“缺乏数据和托管主权,以及缺乏额外的网络安全标准“, 尤其 ”在当前不稳定的地缘政治背景下,网络攻击的数量和深度日益严重»。
«在 HDS 存储库中”,他继续,“有数据本地化的标准,但没有不受域外和非欧洲规则约束的标准»:美国总统乔·拜登在一项行政命令中提出的挑战这位议员强调,清楚地解释了美国人的敏感数据不得由非美国云提供商持有。
«因此,如果美国人说美国人的健康数据异常敏感,那么当前状态下的匿名化(……)不再受保并且我们必须保护他们免受非美国域外规则的影响,为什么我们不做同样的事情呢?»,向当选官员提问。
对于后者,欧洲的数据本地化要求不足以保护健康数据,这与当天发布并由 OVHCloud、Cloud Temple、Docaposte、Outscale 和 Drive 签署的公开信相呼应。在本文中,法国云签署者承认修订内容是“积极的第一步», «但必须先于其他事项:已计划于 2027 年对存储库进行下一次修订,必须通过要求不受域外法律的豁免来保证健康数据的真正主权»,他们恳求道。
拉托姆贝议员强调说,作为证据:中国国家主席习近平和匈牙利达成了建立混合云的协议,相当于该国的 Blue 或 S3NS。未来的云基础设施将允许中国公司在欧洲托管数据,但中国公司可以访问……这足以构成对法国和欧洲高管所倡导的神圣主权目标的违背。
编者注:与我们在采访 OVHcloud 客户安全经理 Emmanuel Meyrieux 后所记录的内容相反,HDS 基于 ISO 27001 而不是 ISO 2020,这一记录错误已于 5 月 27 日星期一得到纠正。
