欧洲、中东和非洲地区 | 医疗保健和生命科学
HDS v2.0
法国《公共医疗法》(第 L.1111-8 条)规定,托管特定类型的个人健康信息 (PHI) 的服务提供商必须获得 HDS (Hébergeur de Données de Santé) 认证。HDS 由法国主管公共卫生的政府机构 ASIP Santé (Agence Française de la Santé Numérique) 颁布,为加强 PHI 的安全性和保护力度提供了框架。
在此框架的基础上,HDS v2.0 进行了多项改进,并更加注重数据主权。Google 已成功从 HDS 过渡到 HDS v2.0。这使我们成为首批获得 HDS v2.0 认证的超大规模云服务提供商之一。
如需获得 HDS v2.0 认证,提供商必须满足一系列详细的要求,包括保护 PHI 并确保其机密性的安全措施、强制性合同条款以及特定的主权和透明度义务。无论数据存储在何处,这些要求都适用。Google 的认证(包括 Google Cloud 和 Google Workspace)涵盖以下所有范围,这些范围在法国《公共医疗法》和 HDS 框架中称为“活动”:
- 对处于运行状态的物理站点进行预配和维护,这些物理站点旨在托管用来处理健康数据的信息系统的硬件基础设施;
- 对处于运行状态的信息系统的硬件基础设施进行预配和维护,这些基础设施用于处理健康数据;
- 对处于运行状态的信息系统的虚拟基础设施进行预配和维护,这些虚拟基础设施用于处理健康数据;
- 对处于运行状态的平台进行预配和维护,这些平台用于托管信息系统应用;
- 对包含健康数据的信息系统进行管理和运维。
请注意,与其他活动相比,活动 5 范围内的产品有限,如下所述。
这些产品范围已与 Google Cloud 和 Google Workspace 各产品的数据位置功能保持一致,允许在欧洲经济区 (EEA) 内存储静态数据。请注意,此 HDS v2.0 认证的范围仅限于企业客户。
请注意,活动 6 不在 Google 的 HDS v2.0 认证范围内,因为以下详述的范围不依赖于外包备份。
如需了解详情,请参阅下方的 HDS 常见问题解答部分。
Google Cloud 已作为 HDS 认证的托管商列在 ASIP 的网站上,让与法国医疗保健行业合作或身处该行业并且符合法国《健康信息系统一般安全政策》(PGSSI-S) 的公司可以信心满满地在 Google Cloud Platform 和 Google Workspace 上交换信息、存储数据和运行与法国 PHI 相关的工作负载。
受 HDS 要求约束的增强型支持服务和高级支持服务客户可以通过 Google Cloud 控制台以法语提交技术支持请求。
潜在客户可以联系销售人员了解详情。
范围内的产品(活动 1 至 4)
活动 1 至 4 范围内的 Google Cloud Platform 产品:
活动 1 至 4 范围内的 Google Workspace 产品:
范围内的产品(活动 1 至 5)
活动 1 至 5 范围内的 Google Cloud Platform 产品:
HDS 常见问题解答
什么是 HDS v2.0?
HDS v2.0 是法国针对健康数据安全、机密性和完整性的强制性认证,适用于托管个人健康信息 (PHI) 的组织。2024 年 5 月发布的 HDS v2.0 框架取代了 2018 年建立的先前 HDS 框架。
HDS v2.0 有哪些主要变化?
HDS v2.0 带来了多项改进,最显著的是更加注重数据主权。主要变化包括强制性欧洲经济区 (EEA) 数据存储、增强跨国传输的透明度,以及与 ISO 27001:2022 保持一致,以实现稳健的信息安全管理系统。
Google Cloud 是否通过了 HDS v2.0 认证?
可以。Google Cloud 已于 2025 年 7 月成功从 HDS 过渡到 HDS v2.0。这一成就使我们成为首批获得 HDS v2.0 认证的超大规模云服务提供商之一,这清楚地反映了我们致力于提供一个基于最高信任、安全和合规原则构建的平台的决心。
在哪里可以找到证书?
证书上包含哪些信息?
我们的证书中列出了证书的颁发日期和续订日期、涵盖的活动以及活动范围内的产品。
EEA 数据存储怎么样?
HDS v2.0 引入了新的主权要求,为数据保护提供了更强有力的保障,最值得注意的是,它要求个人健康数据必须仅存储在欧洲经济区 (EEA) 内。
我们的证书范围已与 Google Cloud 和 Google Workspace 在欧洲经济区 (EEA) 内存储数据的能力保持一致。客户应注意,在此过程中,只有某些产品被认证可以在欧洲经济区 (EEA) 内存储个人健康信息。请参阅网页上的“范围内的产品”部分,了解哪些产品提供此认证。这些部分列出了活动范围内的所有产品(基于证书中找到的原始列表)。客户还应注意,对于所列产品,他们需要选择一个特定区域或多区域,详情请参阅“Cloud 位置”页面。
有关数据处理位置和 Google Cloud 在数据本地化方面的义务(包括与区域法律和法规要求相关的义务)的具体详细信息,请参阅云端数据处理附录和适用的服务专用条款。
在哪里可以找到保证声明?
在哪里可以找到有关 ISO 27001:2022 的信息?
HDS v2.0 纳入了国际 ISO 27001 标准的最新发展,确保该认证不仅符合法国法规,还符合全球网络安全最佳实践。
如需全面了解我们的安全和数据保护措施,包括我们的组织和技术控制措施,请访问 Google 安全性页面。
准备好利用 HDS v2.0 了吗?
Google Cloud 致力于为受法国《公共医疗法》PHI 安全和保护规则约束的客户提供支持。
请务必注意,遵守这些规则是客户与 Google 的共担责任。具体而言,Google Cloud 为 PHI 的存储和处理提供了安全的基础设施,而客户则负责确保根据其合规义务正确配置和保护在 Google Cloud 上构建的环境和应用。客户的主要责任之一是确定他们是否需要 EEA 存储。如上所述,Google Cloud 提供 EEA 存储选项,但客户需要为自己的工作负载选择合适的单区域或多区域。
此外,如果 Google Cloud(托管方)代表医疗服务提供方、生命科学组织或软件供应商(客户)托管个人健康数据,则合同中必须包含强制性合同条款。Google Cloud 提供 Google Cloud 和 Google Workspace 的合同条款来满足这些要求,但客户负有评估自身合规性的最终责任。
合同条款包括 HDS 附录,如果客户确定出于合规目的需要与 Google Cloud 签订此类合同条款,则可以通过 Google Cloud 控制台接受该附录。
如需了解更多详情,请联系您的 Google Cloud 代表。
了解安全措施最佳实践
查看我们的最佳实践解决常见问题
观看安全措施使用场景视频与合作伙伴携手
查看我们的安全合作伙伴
