Software de telemedicina certificado HDS: os 7 criterios que comprobar antes de comprar

Cuando un establecimiento sanitario busca un software de telemedicina, a certificação HDS suele aparecer como criterio principal. Es necesaria, pero insuficiente. Un alojamiento HDS garantiza que seus datos sanitarios se almacenan según os estándares franceses. No garantiza que o propio software sea seguro, interoperable o adecuado a seu práctica.

Esta guía detalla os 7 criterios que un equipo de compras debería verificar antes de elegir un software de telemedicina certificado HDS. Cada criterio va acompañado de as preguntas concretas que se deben formular al editor.

Por qué a certificação HDS no es negociable

A certificação HDS (Hébergement de Données de Santé) es obligatoria en Francia para todo software que almacene, procese o transmita datos sanitarios de carácter personal. Esta obligação se deriva do artículo L.1111-8 do Code de a santé publique.

Concretamente, o alojador debe demostrar seu conformidade con os requisitos de a norma ISO 27001 aplicada al contexto sanitario, con auditorías regulares por parte de un organismo acreditado. A certificação HDS abarca a seguridade física de os centros de datos, a gestión de accesos, o cifrado, as copias de seguridade e a trazabilidade.

Pero atenção: a certificação HDS afecta al alojador en a nube, no al software en sí. Un editor puede alojar en un proveedor certificado HDS y, al mesmo tiempo, tener un software lleno de fallos de seguridade. De ahí a necesidade de verificar otros criterios.

Criterio 1: Certificação HDS do alojador en a nube

O primer criterio es o mais evidente. Compruebe que o alojador en a nube cuenta con una certificação HDS activa e auditada. Solicite o certificado e verifique a fecha de expiração.

Pregunta que formular: «Cuál es seu alojador HDS certificado e cuál es a fecha de seu última auditoría?»

MedConnect está alojado en AWS región eu-west-3 (París), un alojador certificado HDS. Os datos sanitarios permanecen en territorio francés.

Criterio 2: Certificação ISO 27001 do editor

A certificação ISO 27001 afecta al sistema de gestión de a seguridade de a informação do propio editor, no al alojador. Demuestra que a empresa que desarrolla o software de telemedicina aplica procesos de seguridade estructurados: gestión de vulnerabilidades, control de accesos, plan de continuidade, auditorías internas.

Pregunta que formular: «Su empresa está certificada ISO 27001? Por qué organismo e en qué fecha?»

Promotal MedConnect está certificada ISO 27001:2022, expedida o 12 de junio de 2024 por o British Assessment Bureau.

Criterio 3: Conformidade con o RGPD e política de datos

O RGPD impone obligações específicas para o tratamiento de datos sanitarios: base legal, minimização, derecho de supresão, notificação de violações, registro de tratamientos, DPO designado.

Preguntas que formular:

• «Tienen un DPO designado?»
• «Dónde se almacenan físicamente os datos?»
• «Os datos transitan fuera de a UE en algún momento do tratamiento?»
• «Cuál es seu protocolo en caso de violação de datos?»

En MedConnect, os datos están cifrados en AES-256 en reposo e TLS 1.3 en tránsito. As copias de seguridade se realizan cada 6 horas e están georeplicadas. No hay transferencia de datos fuera de a UE, salvo solicitud explícita do cliente para un despliegue on-premise internacional.

Criterio 4: Alojamiento en Francia

Un alojador HDS puede tener centros de datos fuera de Francia. Sin embargo, para algunas estructuras (hospitales públicos, EHPAD, CPTS con financiação de a ARS), o alojamiento en territorio francés es una exigencia implícita o explícita do pliego de condições.

Pregunta que formular: «En qué centro de datos exactamente se alojan os datos? Pueden facilitar a direcção física?»

MedConnect utiliza AWS eu-west-3 en París. Para os despliegues internacionales, hay opções on-premise disponibles para os clientes que exigen a soberanía local de os datos.

Criterio 5: Interoperabilidade con a Carte Vitale e os sistemas de saúde

Un software de telemedicina certificado HDS debe integrarse en o ecosistema sanitario francés. As integrações críticas son:

• Stellair / Olaqin: lectura de a Carte Vitale e envío de FSE (feuilles de soins électroniques)
• DESMOS: red de facturação sanitaria
• DMP Connect: alimentação do Dossier Médical Partagé
• Ordoclic: receta electrónica
• INSi / ICanopée: identificação nacional do paciente (en proceso de despliegue)

Pregunta que formular: «Su software gestiona a lectura de a Carte Vitale, o envío de FSE e a alimentação do DMP?»

MedConnect integra de forma nativa Stellair, DESMOS, DMP Connect e Ordoclic. A integração con ICanopée está en proceso de despliegue.

Criterio 6: Integração con os softwares de gestión (Netsoins, Omnidoc)

Según seu contexto, o software debe integrarse con seus herramientas existentes:

• En EHPAD: integração con o software de gestión de establecimiento (Netsoins es o mais extendido). A sincronização bidireccional de os datos de pacientes evita a doble entrada.
• Para a teleperitagem: integração con Omnidoc (más de 110.000 profissionais de saúde) para as solicitudes de opinión especializada.
• Para a facturação: integração con Orisha (ODS Juxta) para a codificação de os actos médicos.

Pregunta que formular: «Con qué softwares de gestión está integrada seu plataforma de forma nativa? Es necesario un desarrollo específico?»

A plataforma MedConnect integra de forma nativa Netsoins, Omnidoc, Orisha e mais de 20 dispositivos médicos conectados.

Criterio 7: Soporte técnico e plazo de despliegue

Un criterio que a menudo se descuida en os concursos. O melhor software do mundo no sirve de nada si o soporte tarda tres días en responder o si o despliegue dura seis meses.

Preguntas que formular:

• «Cuál es seu plazo medio de despliegue, desde a firma hasta o primer paciente?»
• «Ofrecen soporte en horario laboral? 24/7?»
• «Está incluida a formação do personal?»

MedConnect se despliega en 2 a 4 semanas, formação incluida. O soporte se presta a través de Freshdesk con niveles de serviço adaptados al contrato. A formação de enfermería dura un día e es elegible para o DPC.

As red flags en un concurso

Sea cauteloso si o editor:

• No puede facilitar un certificado HDS o ISO 27001 actualizado
• Aloja os datos fuera de Francia sin mencionarlo claramente
• No integra a Carte Vitale ni a facturação FSE
• Propone un plazo de despliegue superior a 3 meses para un emplazamiento estándar
• Factura as integrações con softwares de gestión como desarrollos específicos
• No tiene referencias verificables en establecimientos sanitarios franceses

FAQ

Es obligatoria a certificação HDS para un software de telemedicina?

Sí. Todo software que almacene o transmita datos sanitarios en Francia debe estar alojado en un proveedor certificado HDS. Esta obligação está recogida en o Code de a santé publique (artículo L.1111-8).

Cuál es a diferencia entre HDS e ISO 27001?

HDS certifica al alojador en a nube (o centro de datos). ISO 27001 certifica o sistema de seguridade do editor do software. Ambas son complementarias: HDS garantiza un almacenamiento seguro, ISO 27001 garantiza que o propio editor gestiona a seguridade correctamente.

Un software alojado en AWS es necesariamente conforme con HDS?

No. AWS está certificado HDS para algunas regiones (entre ellas eu-west-3 París), pero o software que se ejecuta en AWS debe respetar também os requisitos de seguridade. A responsabilidade se comparte entre o alojador e o editor.

Cómo verificar que un editor está realmente certificado ISO 27001?

Solicite o certificado con o número de registro, o nombre do organismo certificador e a fecha de expiração. Puede comprobarlo con o organismo certificador. MedConnect obtuvo seu certificação ISO 27001:2022 o 12 de junio de 2024 a través do British Assessment Bureau.

A financiação do software corre a cargo de a Assurance Maladie?

Parcialmente. A Assurance Maladie reembolsa 350 €/año por o equipo de vídeo e software, e 175 €/año por os dispositivos médicos conectados. O resto puede financiarse mediante leasing, subvenções de a ARS o ajudas a as administrações locales.