보건 데이터 HDS 규정 준수: 협회 및 NGO 가이드

자선 협회, 인도주의 NGO, 비영리 의료-사회 기구는 종종 과소평가되는 공통점을 공유합니다: 개인 보건 데이터를 처리하거나 호스팅하는 순간, 이들은 보건 데이터 호스팅(HDS) 법규 체계의 적용을 받습니다. 그러나 이 부문은 내부 전담 자원 부족과 불충분한 인식으로 인해 규정 준수 측면에서 구조적 지연을 누적해왔습니다. 본 기사는 HDS 인증이 의미하는 바를 이해하고, 실제 의무 사항을 파악하며, IT 팀이 제한적이더라도 실질적인 규정 준수를 활성화할 수 있도록 단계별로 안내합니다.

HDS 인증이란 무엇이며 협회가 관심을 가져야 하는 이유는?

보건 데이터의 법적 정의

GDPR 제4조 제15항의 관점에서, 보건 데이터는 한 사람의 신체적 또는 정신적 건강과 관련된 개인 데이터로, 그의 건강 상태에 대한 정보를 드러냅니다. 이 정의는 의도적으로 광범위합니다. 임상적 의미의 의료 기록뿐만 아니라 다음도 포함합니다:

• 선별 캠페인 중에 수집한 수혜자 데이터
• 사회 복지 서류의 선언된 장애에 관한 정보
• 심리사회 지원 맥락에서 수집한 영양 또는 정신 건강 데이터
• 인도주의 프로그램 틀에서의 의료 시험 또는 평가 결과

중독 퇴치 협회, 노인 부양 지원 네트워크 또는 현장 의료 상담을 운영하는 NGO는 모두 이 범주에 해당하는 데이터를 수집합니다.

HDS 장치: 선택사항이 아닌 법적 의무

2016년 1월 26일 법률 n° 2016-41(보건 시스템 현대화법)은 제3자를 대신하여 개인 보건 데이터를 호스팅하는 모든 기관(협회 및 NGO 포함)에 대해 인증된 HDS 호스팅을 의무화했습니다. 2018년 2월 26일 법령 n° 2018-137에 의해 정의된 인증 기준은 대상 활동 및 충족해야 할 기술 및 조직상 요구 사항을 명시합니다.

일반적인 오류와 달리, 비영리 기구라는 사실만으로는 면제가 적용되지 않습니다. 중요한 것은 처리되는 데이터의 성질과 호스팅이 제3자를 대신하여 수행되는지 여부(의사, 환자, 파트너 기관)입니다.

여섯 가지 HDS 활동과 협회 기구의 범위

HDS 인증은 두 개의 블록으로 구성된 여섯 가지 구별되는 활동을 다룹니다:

인프라 블록(활동 1~3)

• 활동 1: 물리적 사이트(데이터 센터)의 제공 및 운영 조건 유지
• 활동 2: 하드웨어 인프라의 제공 및 운영 조건 유지
• 활동 3: 가상 인프라의 제공 및 운영 조건 유지

소프트웨어 및 관리형 서비스 블록(활동 4~6)

• 활동 4: 애플리케이션 호스팅 플랫폼의 제공 및 운영 조건 유지
• 활동 5: 보건 정보 시스템의 관리 및 운영
• 활동 6: 보건 데이터의 외부 백업

협회의 경우, 가장 흔히 관련된 활동은 활동 4~6이며, 특히 수혜자 파일 관리를 위해 제3자 SaaS 솔루션을 사용하거나 데이터베이스 백업을 외부화할 때입니다. 따라서 모든 SaaS 또는 클라우드 제공자가 보건 데이터를 조작하고 해당 활동에 대해 HDS 인증을 받았는지 확인하는 것이 필수적입니다.

이 맥락에서, 보건 부문의 전자 서명 솔루션을 HDS 인증과 함께 사용하면 민감한 문서 흐름(명확한 동의, 입원 양식, 디지털화된 처방전)을 보호하면서 협회의 비규정 준수 위험을 노출하지 않을 수 있습니다.

협회에서 HDS 규정 준수를 실질적으로 활성화하려면?

1단계: 보건 데이터 처리 현황 파악

기술적 접근 전에, 보건 데이터를 포함하는 모든 처리의 정확한 인벤토리를 진행해야 합니다. 이 연습은 GDPR 제30조에서 규정한 처리 기록 보관 의무에 직접 해당합니다.

각 처리마다 다음을 문서화하세요:

• 수집된 데이터의 성질(GDPR의 특수 범주)
• 처리의 목적
• 수신자 및 하위 프로세서
• 호스팅 수단(내부 서버, 클라우드, SaaS)
• 시행 중인 보안 조치

이 현황 파악을 통해 위험 영역과 감시할 제공자를 신속하게 파악할 수 있습니다.

2단계: 제공자를 감시하고 인증을 요구하기

HDS 인증은 COFRAC(프랑스 국가 인정 위원회)에서 인정한 기관에 의해 부여됩니다. 호스팅 제공자의 인증 상태는 ANS(보건 디지털 기관) 웹사이트에서 확인할 수 있으며, 여기에는 HDS 인증 호스팅 제공자의 공개 목록이 있습니다.

제공자에게 체계적으로 요구하세요:

• 유효한 HDS 인증서 사본
• 대상이 되는 활동의 정확한 범위
• 보건 데이터 보호에 관한 구체적인 계약 조건

선언만으로는 충분하지 않습니다: 인증은 검증 가능하고 최신이어야 합니다.

3단계: 계약 및 DPA 업데이트

GDPR 제28조는 귀사를 대신하여 개인 데이터를 처리하는 모든 하위 프로세서와 데이터 처리 계약(DPA) 체결을 의무화합니다. HDS 맥락에서, 이 DPA는 다음을 포함하는 특정 조항으로 보충되어야 합니다:

• 강화된 기밀성 약정
• 72시간 이내 사건 알림 의무
• 데이터 반환 및 삭제 조건
• 데이터 위치(반드시 EEA 영토 또는 적절성 결정의 이점이 있는 국가)

일부 협회는 여전히 수혜자의 동의를 얻기 위해 종이 양식을 사용합니다. 규정을 준수하는 전자 서명 솔루션을 통한 이 프로세스의 디지털화를 통해 동의에 시간 기록과 인증을 할 수 있으며, 법적으로 대항할 수 있는 증거를 생성합니다.

4단계: 팀 훈련 및 규정 준수 담당자 지정

HDS 규정 준수는 일시적인 프로젝트가 아닙니다: 그것은 지속적인 프로세스입니다. 내부 담당자를 지정하고(GDPR 제37조에 따라 대규모로 보건 데이터를 처리하는 기관의 경우 DPO일 수 있음) 민감한 데이터와 접촉하는 팀을 위해 정기적인 인식 제고 세션을 계획하세요.

CNIL이 2024년에 발표한 연구에 따르면, 보고된 보건 데이터 침해의 60% 이상이 인적 오류(잘못된 수신자에게 발송, 암호화 부재)를 포함했습니다. 따라서 교육은 기술 조치만큼 위험 감소의 중요한 수단입니다.

협회 부문의 특정 문제: 제한된 자원과 예산 제약

민감한 데이터와 제한된 예산의 역설

협회와 NGO는 특수한 위치에 있습니다: 의료 또는 민간 보건 기업의 부문보다 인적 및 재정 자원이 훨씬 부족하면서도 매우 민감한 데이터(취약한 사람들의 건강 상태, 난민, 고아)를 종종 관리합니다.

이 현실은 실용적이고 우선순위가 정해진 규정 준수 전략을 채택하도록 합니다. ANS의 권장사항에 따르면, 다음의 세 단계 접근이 일반적으로 중소 기구에 권장됩니다:

1. 긴급 단계(0~3개월): 중요 위험 식별 및 제거(인증되지 않은 호스터, 암호화 부재)
2. 통합 단계(3~12개월): 계약 업데이트, 규정을 준수하는 도구 배포, 교육
3. 성숙 단계(12~24개월): 내부 감사, 연속 계획, 처리의 연간 검토

협회 HDS 규정 준수에서 전자 서명의 역할

민감한 문서의 디지털화는 협회 부문에서 종종 활용되지 않는 수단입니다. 그럼에도 불구하고 종이 양식을 적격 또는 고급 전자 서명 프로세스로 대체하면 여러 이점이 있습니다:

• 추적: 각 서명에 시간 기록이 있고 검증된 신원과 연결되어 있어 처리의 적법성을 입증하기 용이합니다
• 오류 위험 감소: 민감한 문서의 수동 조작 감소
• 보안 아카이빙: 전자 서명된 문서는 인증된 디지털 안전 보관함에 보관될 수 있습니다

솔루션 선택 기준에 대한 추가 정보는, HDS 및 eIDAS 규정 준수 측면에서 시장 제안의 차이를 자세히 설명하는 전자 서명 솔루션 비교를 참조하세요.

이미 HR 도구 또는 수혜자 파일 관리 도구를 사용 중인 협회는 현재 솔루션이 기본적으로 규정을 준수하는 전자 서명을 통합하는지 확인할 가치가 있습니다. 기업 전자 서명 가이드는 이러한 통합 기준을 자세히 다룹니다.

마지막으로, 이미 서명 솔루션을 배포했지만 HDS 인증 제공자로 이전하고자 한다면, 마이그레이션 제공을 통해 서비스 중단 없이 데이터와 워크플로우를 전송할 수 있습니다.

협회 및 NGO에 적용되는 보건 데이터 호스팅의 법적 체계

HDS 규제의 기초 텍스트

보건 데이터 호스팅에 관한 프랑스 규제는 의료 또는 의료-사회 데이터를 조작하는 모든 협회에 필수적인 텍스트의 축적을 기반으로 합니다.

법률 n° 2016-41 (2016년 1월 26일) (보건 시스템 현대화법): 이는 보건법전(L. 1111-8조)에 피지인이나 해당 데이터를 처리하는 기관을 대신하여 개인 보건 데이터를 호스팅하는 모든 자연인이나 법인에 대해 인증된 HDS 호스팅 사용 의무를 규정했습니다.

법령 n° 2018-137 (2018년 2월 26일): 인증 대상 활동, 인증 부여 및 취소 절차, 그리고 인증 기관(의무적 COFRAC 인정)에 적용되는 요구 사항을 명시합니다.

2017년 8월 8일 행정령: 보건 정보 시스템에 적용되는 보안 기준을 설정하며, HDS 평가의 기술적 기초로 사용됩니다.

GDPR과의 연결

규제(EU) 2016/679 (GDPR)은 개인 데이터 보호의 일반 프레임워크를 구성합니다. 그 규정은 누적적으로 HDS 요구 사항에 적용됩니다:

• 제9조: 보건 데이터는 원칙적으로 처리가 금지된 특수 범주의 데이터이며, 나열된 예외의 경우 제외됩니다(명확한 동의, 의료 지원 필요, 공공 이익 등)
• 제28조: 귀사를 대신하여 보건 데이터를 호스팅하는 하위 프로세서의 사용은 상세한 서면 계약(DPA)을 체결해야 합니다
• 제32조: 협회는 적절한 기술 및 조직상 조치(암호화, 의사익명화, 접근 제어)를 시행해야 합니다
• 제33조: 모든 보건 데이터 침해는 72시간 내에 CNIL에 알려야 합니다
• 제35조: 처리가 자연인의 권리에 높은 위험을 초래할 가능성이 있으면 데이터 보호 영향 평가(DPIA)가 의무적입니다

비규정 준수 시 법적 위험

HDS 프레임워크 미준수는 협회를 여러 수준의 제재에 노출합니다:

• CNIL 행정 제재: 최대 2천만 유로 또는 연간 전 세계 수익의 4%(GDPR 제83조 제5항). 협회의 경우 CNIL은 이용 가능한 자원을 고려하여 금액을 판단하지만, 작은 기구에 대해 상징적이지만 공개적인 제재가 이미 부과되었습니다.
• 형사 책임: 민법 제226-13조는 의료 비밀 위반에 대해 최대 1년의 징역 및 15,000유로의 벌금을 규정합니다.
• 민사 책임: 피해를 입은 수혜자는 입증 가능한 손해가 있는 경우 민법 제1240조 이하에 따라 협회의 책임을 물을 수 있습니다.
• 승인 정지: 공공 당국(ARS, 도청)에 의해 승인된 협회는 보건 데이터 보호 관련 중대한 위반 시 승인을 박탈당할 수 있습니다.

또한 NIS2 지침(지침 EU 2022/2555, 2024년 5월 21일 법률 n° 2024-449에 의해 프랑스에 전환됨)은 사이버 보안 의무를 보건 인프라 관리 중요 기구를 포함할 수 있는 기관의 확대된 범위로 확대합니다.

사례: 협회 및 NGO의 실제 HDS 규정 준수

시나리오 1: 500개의 수혜자 파일을 관리하는 가정 지원 협회

몇 개 부서에서 고령 부양 인원을 지원하는 협회는 병력, 현재 처방전 및 부양 필요도 평가(GIR 척도)에 관한 정보를 포함하는 약 500개의 활성 파일을 관리합니다. 이 데이터는 HDS 인증을 받지 않은 클라우드 제공자가 호스팅하는 협회 관리 소프트웨어에 저장됩니다.

수혜자의 접근 요청으로 촉발된 내부 감사 후, 협회는 이 비규정 준수를 파악합니다. 활동 4 및 5의 HDS 인증 호스팅 제공자로 마이그레이션하고, 소프트웨어 제공자와 규정을 준수하는 DPA를 체결하며, 동의 양식과 개인 지원 계획을 디지털화하기 위해 전자 서명 솔루션을 배포합니다.

관찰 결과: 동의 처리 시간 단축 70%(종이 형식 평균 12일에서 4일 미만으로), 종이 문서 손실 또는 오발송 위험 완전 제거, 그리고 문서화된 규정 준수로 인한 강화된 사이버 보험 커버.

시나리오 2: 현장 의료 임무를 조율하는 국제 NGO

응급 의료 서비스 전문 NGO는 미션의 일부로 여러 국가에서, 그 중 일부는 프랑스의 중앙 서버로 전송되는 데이터를 포함하여 수혜자 인구에 관한 보건 데이터를 수집합니다. IT 팀은 두 명의 자원봉사자로 구성됩니다.

내부 HDS 인증 인프라를 유지할 수 없다는 점을 감안하여, NGO는 활동 1~6을 포함하는 HDS 인증 호스팅 제공자와 함께 100% SaaS 아키텍처를 선택합니다. 의료 프로토콜 및 동의 양식을 위한 전자 서명 프로세스를 구현합니다(낮은 연결성 영역을 위한 오프라인 모드 서명 동기화).

관찰 결과: 추가 IT 채용 없이 6개월 이내에 HDS 및 GDPR 규정 준수 달성, 자체 호스팅 인프라와 비교하여 예상 40% 비용 절감, 그리고 데이터 규정 준수 인증(AFD, 유럽 연합)이 필요한 기관 호출에 응답 능력.

시나리오 3: 지역 사회 보건 센터를 관리하는 협회 네트워크

여러 보건 센터를 연결하는 협회 그룹(약 8,000명의 활동 환자)은 사이트 간 공유되는 환자 파일 소프트웨어를 사용합니다. 사이트 간 조율은 HDS 기준 직접 위반으로 비보안 메일링을 통한 보건 데이터 교환을 포함합니다.

협회는 HDS 인증 제공자의 지원으로 정보 시스템을 개편하고, 보안 보건 메시징(MSSanté)을 구현하며, 규정을 준수하는 전자 서명 플랫폼을 통해 모든 입원 및 동의 양식을 디지털화합니다. DPIA는 높은 위험의 각 처리마다 수행됩니다.

관찰 결과: 규정 준수 후 18개월 동안 CNIL에 보고된 데이터 침해 영점(이전 기간 대비 2개의 사소한 사건), 평균 입원 시간 35% 단축, 그리고 불완전한 종이 양식 제거로 인한 환자 파일 완성도 증가 22%.

결론

협회 및 NGO 부문의 보건 데이터에 대한 HDS 규정 준수 활성화는 대형 병원 기구로 제한된 선택사항이 아닙니다: 그것은 개인 보건 데이터를 호스팅하거나 처리하는 모든 기관(규모나 법적 지위와 관계없이)에 부과되는 법적 의무입니다. 규제에 대한 무지는 책임을 면제하지 않습니다.

좋은 소식: 네 가지 단계(현황 파악, 제공자 감시, 계약 업데이트, 교육)로 구성된 구조화된 접근을 통해 제한된 자원으로도 견고한 규정 준수 수준을 달성할 수 있습니다. 인증된 전자 서명 솔루션을 통한 동의 및 민감한 문서의 디지털화는 위험을 줄이면서 운영 효율성을 개선하기 위한 특히 효과적인 수단입니다.

Certyneo는 eIDAS 규정을 준수하는 전자 서명 플랫폼을 제공하며, 협회 부문의 제약에 맞게 조정되고 HDS 인증 인프라에 호스팅됩니다. 당사 팀에 문의하여 문서 상황에 대한 무료 감시를 받고 오늘부터 보건 데이터 흐름을 보호하는 방법을 알아보세요.