Un service proposé par APM International
https://www.groupepsih.com/2017/07/13/dma-en-ssr-le-groupe-psih-apporte-deja-des-reponses/#utm_source=nom-editeur-partenaire&utm_medium=display
https://www.enovacom.fr/enovacom-identity-manager-solution-referentiel-agents-ght.html?utm_source=ticsante&utm_medium=banner&utm_campaign=EIM
http://www.computer-engineering.fr
http://engage.nuance.fr/lettre-de-liaison-J-0?cid=7010W000001yqSLQAY&ls=website&rs=tiscante&offer=TAT_Compliance&ot=eBook
02/12/2016   Envoyer par mail Imprimer   1 commentaire
Pour commenter cette dépêche Identifiez-vous

Hébergement des données de santé: le référentiel de certification à l'heure du compromis

PARIS, 2 décembre 2016 (TICsanté) - L'Agence des systèmes d'information partagés de santé (Asip santé) a indiqué à TICsanté travailler actuellement à l'intégration des retours de la consultation publique sur le référentiel de certification des hébergeurs de données de santé (HDS), marquée par une opposition entre l'Association française des hébergeurs agréés de données de santé (Afhads) et le Syntec Numérique.

Pilotée par la délégation à la stratégie des systèmes d'information de santé (DSSIS), la consultation publique s'est déroulée du 16 septembre au 31 octobre dernier (voir dépêche du 23 septembre 2016) et a donné lieu à près de 400 remarques formulées par une trentaine d'acteurs, a-t-on appris auprès de l'Asip santé, chargée de sa mise en oeuvre.

Plusieurs acteurs sont concernés par le traitement de données de santé: les fournisseurs d'infrastructure (serveurs, salles blanches, matériel), les prestataires de services d'infogérance (maintenance, surveillance, support technique) et les éditeurs d'application utilisant ces données.

L'une des différences entre la fédération de professionnels du secteur numérique, Syntec Numérique, et l'Afhads, qui a mené sur la Toile une importante campagne contre le référentiel (voir brève du 21 octobre 2016), a porté sur l'intégration de la partie applicative au référentiel de certification.

Cette intégration n'a pas été retenue par les pouvoirs publics qui ont estimé que les éditeurs étaient déjà tenus de respecter la politique générale de sécurité des systèmes d'information de santé (PGSSI-S), rendue opposable par la loi de "modernisation de notre système de santé".

"Une partie du débat avec l'Afhads a porté sur la question de savoir si c'était à l'hébergeur d'être le gendarme de la partie applicative et de contraindre l'éditeur à procéder à des modifications, ou si le niveau de sécurité de l'application devait être vérifié par un tiers de confiance", a expliqué à TICsanté Christophe Richard, président du groupe de travail du Syntec Numérique sur les données de santé, et directeur médical chez Santeos.

Il a notamment rappelé que "l'esprit" du nouveau règlement européen sur la protection des données personnelles (voir dépêche du 13 mai 2016) consiste à "responsabiliser chaque acteur de la chaîne de traitement" et que dans cette logique, "il revient à l'hébergeur d'assurer la sécurité de l'infrastructure et de l'infogérance, et à l'éditeur d'apporter des garanties sur son respect de la PGSSI-S".

Vérifications par un tiers

"Rien n'empêche toutefois l'hébergeur d'effectuer des contrôles sur cette conformité à la PGSSI-S", a nuancé Christophe Richard, arguant que "dans les faits, il le fait toujours puisqu'il est contraint de vérifier que la solution applicative est compatible avec son infrastructure informatique".

Reste que le Syntec Numérique a estimé que la contrainte sur les éditeurs devait être portée par "un tiers extérieur neutre, bénéficiant d'une autorité et habilité à aller voir l'hébergeur et l'éditeur pour vérifier que les déclarations de chacun sont conformes à ce qui a été réellement fait", a souligné Christophe Richard, citant les exemples de la Commission nationale de l'informatique et des libertés (Cnil) et de l'Asip santé.

D'autant que, selon lui, "l'hébergeur n'a pas toujours la compétence en interne pour apprécier le niveau de sécurité d'une solution applicative développée par un autre".

Après clôture de la consultation publique, le Syntec Numérique a fait part dans un communiqué de presse de son "plein soutien" au projet de référentiel présenté par l'Asip santé.

Nouvelle version du référentiel en janvier

Christophe Richard a formulé un regret à TICsanté, à savoir la disparition du rôle du médecin de l'hébergeur du processus de certification. "La difficulté dans le décret sur l'hébergement des données de santé était que la mission du médecin hébergeur était mal détourée et qu'il servait un peu à tout et à rien", a-t-il expliqué.

"J'appelais de mes voeux une fiche de poste parfaitement claire pour ce médecin car je pense qu'il apporte une valeur ajoutée non négligeable aux hébergeurs, notamment sur le plan éthique", a-t-il ajouté.

Après intégration des retours de la consultation et présentation au comité de pilotage du projet, l'Asip santé prévoit de publier une nouvelle version du référentiel "d'ici fin décembre ou début janvier".

Le référentiel d'accréditation et le référentiel de gouvernance sont "en cours d'élaboration avec le Cofrac" et ne seront pas soumis à concertation, a précisé l'agence.

Le remplacement de la procédure d'agrément HDS par une certification doit être entériné par une ordonnance actuellement en cours d'examen, pour une publication prévue au plus tard en janvier 2017.

rm/ab

Partagez cet article

Rédigé par: F. KAAG - AFHADS  le 03/12/2016 à 8:29
La DSSIS et l'ASIP Santé ont fait le choix de dévaluer le rôle des HDS, au détriment de tous les acteurs qui l'ont assuré loyalement depuis des années. Tout notre argumentaire se trouve en www.afhads.fr/?p=1127.

L'AFHADS travaille actuellement à un code de marque, d"adhésion volontaire, pour permettre à ceux de ses membres qui le souhaitent d'afficher leur maintien du niveau d'exigence qui faisait la valeur et la réputation de notre métier.
Haut de page
Les dépêches liées à cette information
http://www.web100t.fr
http://global.agfahealthcare.com/france/
http://www.saficard.com/vitaplus-praticien-hospitalier.html
http://www.ticsante.com/show.php?page=inscription
http://www.acetiam.eu
http://www.vieviewer.com/
http://www.axigate-france.fr/axigate-reflex/
Les offres




Médecin Dim (H/F)

Franche-Comté
Les offres d'emploi
Agenda
6èmes Journées du Mipih
Du 29/11/2017 au 30/11/2017
3ème colloque sécurité des SI en établissements sanitaires et médico-sociaux
Le 29/11/2017
Hacking Health Lyon
Du 01/12/2017 au 03/12/2017
Les Journées de l'achat hospitalier
Du 07/12/2017 au 08/12/2017
Journée régionale "Sécurité numérique en santé"
Le 07/12/2017