Hébergeur de Données de Santé

Die HDS-Zertifizierung bietet Unternehmen, die die Gesundheitsdaten französischer Bürger in der Cloud hosten möchten, die notwendige Bescheinigung der Informationssicherheit.

Die HDS Version 2.0 wurde 2024 von der Agence du Numérique en Santé (ANS) eingeführt und stärkt die Sicherheit und den Schutz personenbezogener Gesundheitsdaten, die dem französischen Recht unterliegen. Zu den wichtigsten Änderungen gehören:

• Anforderungen an die Datensouveränität, die vorschreiben, dass Gesundheitsdaten (Aktivitäten 1 und 2) ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert werden.
• Verbesserte Transparenzpflichten in Bezug auf Unterauftragsverarbeiter und potenzielle Gefährdung durch außereuropäische Gesetze.
• Angleichung an europäische Cybersicherheitsstandards und verstärkte Anforderungen an Datenübertragbarkeit/Reversibilität.

Gemäß dem Modell der geteilten Verantwortung sind unsere Kunden dafür verantwortlich, ihre eigenen Compliance-Anforderungen auszuwerten, einschließlich der Auswirkungen von HDS Version 2.0. Die HDS-Anforderungen finden Sie auf der ANS-Website.

Die HDS-v1.1-Zertifizierung wurde durch die v2.0-Zertifizierung ersetzt, die im Rahmen der Übergangsprüfung erlangt wurde. AWS ist jetzt nach dem aktuellen v2.0-Framework zertifiziert.

Ja. AWS besitzt die HDSv2-Zertifizierung in 27 Regionen. Für Kunden, die den EWR-Anforderungen an die Datenresidenz der Aktivitäten 1 und 2 unterliegen, gewährleisten die sechs EWR-Regionen (Frankfurt, Irland, Mailand, Paris, Stockholm, Spanien) die ununterbrochene Einhaltung der Vorschriften auch nach Ablauf der verbindlichen Übergangsfrist am 16. Mai 2026. Alle 27 zertifizierten Regionen kommen weiterhin für die Aktivitäten 3–6 in Frage.

AWS erhielt am 21. April 2026 die HDSv2-Zertifizierung, die alle sechs Aktivitäten des HDS-Frameworks abdeckt:

• Aktivitäten 1 und 2 – Physische Infrastruktur (nur EWR-Regionen)
      1. Bereitstellung und Aufrechterhaltung der Betriebsbereitschaft von physischen Standorten, um die physische Infrastruktur des Informationssystems für die Verarbeitung von Gesundheitsdaten zu hosten.
      2. Bereitstellung und Aufrechterhaltung der Betriebsbereitschaft der Hardwareinfrastruktur des Informationssystems für die Verarbeitung von Gesundheitsdaten.
• Aktivitäten 3–6 – Virtuelle Infrastruktur, Plattform, Betrieb und Backups (alle 27 zertifizierten Regionen)
      3. Bereitstellung und Aufrechterhaltung der Betriebsbereitschaft der virtuellen Infrastruktur des Informationssystems für die Verarbeitung von Gesundheitsdaten.
      4. Bereitstellung und Aufrechterhaltung der Betriebsbereitschaft der Plattform für das Hosten von Informationssystemanwendungen.
      5. Administration und Betrieb des Informationssystems mit Gesundheitsdaten.
      6. Sicherung von Gesundheitsdaten.

Wichtig – Datenresidenz für physisches Hosting (Aktivitäten 1 und 2): Gemäß dem HDSv2-Framework erfordern Aktivitäten 1 und 2, dass Gesundheitsdaten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) physisch gespeichert werden. Wenn Sie also den HDS-Anforderungen unterliegen, müssen sich Ihre gespeicherten Gesundheitsdaten in einer der unten aufgeführten EWR-Regionen befinden. Die Aktivitäten 3 bis 6 (virtuelle Infrastruktur, Plattformhosting, Verwaltung/Betrieb und Backups) unterliegen nicht dieser geografischen Beschränkung und können von jeder zertifizierten Region aus durchgeführt werden.

Europa (EWR) – für alle Aktivitäten geeignet (1–6)

• Europa (Frankfurt, Deutschland)
• Europa (Irland)
• Europa (Mailand, Italien)
• Europa (Paris, Frankreich)
• Europa (Spanien)
• Europa (Stockholm, Schweden)

Europa (außerhalb des EWR) – nur für Aktivitäten 3–6 geeignet

• Europa (London, UK)
• Europa (Zurich, Schweiz)

Amerika – nur für Aktivitäten 3–6 geeignet

• USA Ost (Nord-Virginia)
• USA Ost (Ohio)
• USA West (Oregon)
• USA West (Nordkalifornien)
• Kanada (Zentral)
• Kanada West (Calgary)
• Südamerika (São Paulo, Brasilien)

Asien-Pazifik und Ozeanien – nur für Aktivitäten 3–6 geeignet

• Asien-Pazifik (Tokio, Japan)
• Asien-Pazifik (Sydney, Australien)
• Asien-Pazifik (Melbourne, Australien)
• Asien-Pazifik (Singapur)
• Asien-Pazifik (Mumbai, Indien)
• Asien-Pazifik (Seoul, Südkorea)
• Asien-Pazifik (Hongkong)
• Asien-Pazifik (Jakarta, Indonesien)
• Asien-Pazifik (Osaka, Japan)
• Asien-Pazifik (Hyderabad, Indien)

Naher Osten und Israel – nur für Aktivitäten 3–6 geeignet

• Naher Osten (Dubai, VAE)
• Israel (Tel Aviv)

Für die HDS-Zertifizierung muss ein IT-Anbieter nach ISO 27001 zertifiziert sein. Die von der AWS-ISO-27001-Zertifizierung abgedeckten Services sind im Geltungsbereich von HDS enthalten. Die AWS-Services, die in den Geltungsbereich der ISO/IEC 27001:2022 fallen, finden Sie auf der ISO-Zertifiziert-Webseite.

Gemäß dem Modell der geteilten Verantwortung liegt es in der Verantwortung des Kunden, ihre eigenen Compliance-Anforderungen zu evaluieren. Weitere Informationen finden Sie auf der ANS-Website. Die HDS-Norm finden Sie auf der ANS-Website.

Gemäß dem Modell der geteilten Verantwortung bescheinigt die HDS-Zertifizierung von AWS die „Sicherheit der Cloud“. Dadurch können die Kunden ihre Ressourcen bei der eigenen HDS-Zertifizierung auf Aspekte im Zusammenhang mit der „Sicherheit in der Cloud“ konzentrieren.

Ja. Das AWS-HDSv2-Zertifikat kann von AWS Artifact heruntergeladen werden. Die Liste der zertifizierten Hosts finden Sie auf der ANS-Website.

Die AWS European Sovereign Cloud fällt noch nicht in den Geltungsbereich der HDS-v2.0-Zertifizierung. Die Region hat grundlegende Compliance-Zertifizierungen (ISO 27001, SOC 2, C5) erhalten, und AWS prüft derzeit die Aufnahme dieser Region in den HDS-Zertifizierungsumfang. Ein weiteres Update wird zu gegebener Zeit zur Verfügung gestellt.

Die zentrale Referenz für alle Auftragsverarbeiter, die an HDS-zertifizierten Hosting-Aktivitäten teilnehmen, ist auf der Seite AWS-Unterauftragsverarbeiter verfügbar. Darüber hinaus können Kunden über die ANS-Website auf die Zertifizierungsüberprüfung zugreifen. Dort finden Sie den offiziellen Zertifizierungsstatus und Einzelheiten zu Unterauftragsverarbeitern, die an HDS-zertifizierten Hosting-Aktivitäten beteiligt sind.

Dadurch wird sichergestellt, dass Kunden einen klaren, zentralen Zugriff haben, um den Compliance- und Zertifizierungsstatus aller Unterauftragsverarbeiter zu überprüfen, die Gesundheitsdaten innerhalb der HDS-kompatiblen Infrastruktur von AWS verarbeiten.

AWS verfügt über umfassende Datenübertragbarkeits- und Kundenkontrollmechanismen, die es Kunden ermöglichen, ihre Gesundheitsdaten in mehreren branchenüblichen Formaten abzurufen und Workloads mithilfe gut dokumentierter Methoden zu migrieren.

Besitz und Kontrolle der Kundendaten

Gemäß dem AWS-Modell der geteilten Verantwortung, der AWS-Kundenvereinbarung (Abschnitt 6.1) und dem HDS-v2-Zusatz (Abschnitt 12) behalten die Kunden das vollständige Eigentum und die volle Kontrolle über ihre Inhalte. AWS bietet die Möglichkeit, Daten jederzeit mithilfe nativer Servicefunktionen abzurufen, ohne dass AWS-Unterstützung erforderlich ist.

Wichtige Übertragbarkeitsfunktionen

• Vertragsklauseln: Das französische Gesundheitsgesetz schreibt die Erfüllung bestimmter Vertragsbedingungen zwischen dem Host der Gesundheitsdaten und seinen Kunden vor. AWS-Kunden können sich auf den AWS-Zusatz zur Datenverarbeitung (AWS DPA) und die geltenden spezifischen Bedingungen beziehen.
• Gesundheits- und Biowissenschaften: AWS bietet Referenzarchitekturen, Leitfäden zu bewährten Methoden und spezielle Lösungen für den Gesundheitssektor. Erfahren Sie mehr bei AWS für das Gesundheitswesen.
• AWS Landing Zone Accelerator für das Gesundheitswesen: Eine Referenzimplementierung für die Bereitstellung einer HDS-kompatiblen Infrastruktur. Erfahren Sie mehr auf GitHub.