Une opération de maintenance est prévue vendredi 14 Aout 2020 entre 12h30 et 13h00. L'accès au site sera interrompu durant cette période. Nous vous remercions pour votre compréhension.

https://vieviewer.com/

Systèmes d'information

Sécurité informatique: un décret détaille les incidents devant être signalés par les établissements de santé

1 335

PARIS, 19 septembre 2016 (TICsanté) - Un décret détaille les catégories d'incidents de sécurité des systèmes d'information (SI) des établissements et services de santé devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente.

Ce texte est pris en application de l'article 110 de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements.

La loi prévoit un signalement "sans délai" à l'ARS, qui fait suivre à son tour aux "autorités compétentes de l'Etat" les incidents jugés "significatifs".

Les organismes concernés par la procédure de signalement sont les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie, selon le décret.

La déclaration des incidents graves de sécurité des SI doit permettre aux autorités concernées, notamment l'Agence nationale de sécurité des systèmes d'information (Anssi), d'adapter sa stratégie de sécurité des SI, et aider les établissements à "prendre toute mesure utile" pour en prévenir la survenue ou en limiter leurs effets.

"Sont considérés comme incidents graves de sécurité" des SI "les événements générateurs d'une situation exceptionnelle", dont ceux "ayant des conséquences potentielles ou avérées sur la sécurité des soins", "des conséquences sur la confidentialité ou l'intégrité des données de santé" et les incidents "portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service", dispose le décret.

"Sont jugés significatifs les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d'autres établissements, organismes ou services", est-il ajouté.

La déclaration des incidents à l'ARS incombe au directeur de l'établissement concerné. L'agence régionale est "responsable" de leur qualification et doit à son tour transmettre les incidents significatifs à l'Agence des systèmes d'information partagés de santé (Asip santé).

Cette dernière doit assurer l'analyse de ces incidents, fournir un appui aux ARS en organisant des retours d'expérience et proposer des mesures d'aide au traitement des incidents, et gérer le traitement de données relatif aux signalements.

L'Asip santé devra informer sans délai le service du haut fonctionnaire de défense et de sécurité (HFDS) des ministères chargés des affaires sociales de tout signalement analysé, ainsi que les services de la direction générale de la santé (DGS) pour tout signalement "susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins".

Elle devra établir un rapport annuel statistique portant sur les "signalements anonymisés" des incidents, qui sera rendu public.

L'attribution de cette compétence de supervision à l'Asip santé est nouvelle, puisque lors des débats à l'Assemblée nationale, le député Gérard Bapt (PS, Haute-Garonne) souhaitait confier cette responsabilité à l'Anssi, note-t-on.

Un arrêté précisera les modalités de signalement et de traitement des incidents.

Plus de 1.300 attaques informatiques ont été recensées contre les établissements de santé en 2015, avait indiqué en avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales, lors du congrès de l'Association pour la promotion de la sécurité des systèmes d'information en santé au Mans (Apssis) (voir dépêche du 8 avril 2016).

(Décret n°2016-1214 du 12 septembre 2016, Journal officiel du mercredi 14 septembre, texte 15)

vg/nc/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Politique

La doctrine technique du numérique en santé soumise à concertation publique

PARIS (TICsanté) - Les premiers éléments de la doctrine technique prévue par la feuille de route gouvernementale sur le numérique en santé ont été mis en ligne pour concertation avant la publication d'une version définitive attendue "d'ici fin décembre", a indiqué le 3 octobre Laura Létourneau, déléguée ministérielle du numérique en santé (DNS).

0 1234

E-santé

Soins sans consentement en psychiatrie: vers une annulation partielle du décret Hopsyweb par le Conseil d'Etat

PARIS (TICsanté) - Le rapporteur public du Conseil d'Etat a préconisé le 16 septembre l'annulation de trois articles du décret qui a institué Hopsyweb, traitement de données à caractère personnel pour le suivi des personnes en soins psychiatriques sans consentement.

0 840

Vos réactions

Afficher/Masquer les commentaires (1)

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
9 + 6 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • VPH 2020

    Du 24/08/2020 au 28/08/2020

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • JournĂ©e En avant la e-santĂ© 2020

    Le 22/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021

https://vph2020.sciencesconf.org