https://www.nehs-digital.com

E-santé

Publication imminente du décret sur la certification des hébergeurs de données de santé

0 603

(Par Raphaël MOREAUX et Wassinia ZIRAR)

PARIS, 21 février 2018 (TICsanté) - Le décret relatif aux modalités de certification des hébergeurs de données de santé a été validé par le Conseil d'Etat et doit être publié "d'un jour à l'autre" au Journal officiel, a indiqué le délégué à la stratégie des systèmes d'information de santé (DSSIS) par intérim, Philippe Cirre, dans un entretien accordé le 19 février à TICsanté.

Le décret est passé devant la section sociale du Conseil d'Etat le 6 février, et a été validé le lendemain par le secrétariat général du gouvernement, a précisé Philippe Cirre.

Ce texte est pris en application de la loi du 26 janvier 2016 de modernisation de notre système de santé et de l'ordonnance du 12 janvier 2017 relative à l'hébergement des données de santé à caractère personnel, rappelle-t-on (voir dépêche du 16 janvier 2017).

La loi prévoit le transfert de la procédure d'agrément "Hébergeur de données de santé à caractère personnel" (HDS), actuellement assuré par un comité placé auprès de l'Agence des systèmes d'information partagés de santé (Asip santé), à une certification.

"Nous passons d'un dispositif d'agrément franco-français assuré par l'Etat à une certification 'européen-compatible' confiée à des organismes certificateurs agréés", a souligné Philippe Cirre.

Il s'agit par ce biais d'"améliorer les délais et la transparence sur les modalités de délivrance des autorisations" et d'"ouvrir le marché à la concurrence" en faisant reposer la certification sur des normes internationales, et de "faciliter le changement de prestataire pour les professionnels de santé", a expliqué Jean-Christophe Dayet, ingénieur à la DSSIS chargé des services de confiance et de la dématérialisation des données personnelles.

"La demande d'agrément contenait jusqu'ici à la fois la prestation d'hébergement et l'application informatique qui nécessitait cet hébergement. Si l'acteur de santé voulait changer de prestataire, il devait repasser par une demande d'autorisation pour son application", a-t-il précisé.

Le dispositif de certification doit entrer en vigueur au 1er avril 2018.

A compter de cette date, toute personne qui héberge des données de santé à caractère personnel recueillies dans le cadre d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil des données, ou pour le patient, devra être certifiée HDS.

Professionnels, hôpitaux et industriels concernés

Cela vaut notamment pour un hôpital qui héberge les données générées par un autre établissement de santé, par exemple dans le cadre d'un groupement hospitalier de territoire (GHT), ou pour un industriel qui propose un dispositif médical connecté s'inscrivant dans un parcours de soins ou dans une action de prévention.

Les structures qui disposent déjà d'un agrément en disposeront jusqu'à la fin de sa durée de validité, à savoir trois ans, et sera ensuite obligée d'être certifiée.

"Toutes les demandes d'agrément qui auront été déposées avant le 1er avril seront instruites selon l'ancien dispositif", a précisé Jean-Christophe Dayet. Par ailleurs, les agréments qui arriveront à échéance d'ici mars 2019 seront prorogés de six mois, afin de "laisser le temps aux acteurs de se préparer à la certification", a-t-il poursuivi.

La nouvelle réglementation comprend aussi l'obligation, pour l'acteur de santé, de vérifier si son prestataire hébergeur est certifié. "Sinon, sa responsabilité sera engagée", a appuyé Jean-Christophe Dayet.

En cas de fuite de données, et si l'hébergeur était bien certifié HDS, "on recherchera la faute sur la façon dont l'hébergement a été fait", a-t-il ajouté.

Elever le niveau de sécurité de données de santé

"Notre objectif est d'élever le niveau de sécurité des données de santé, qu'elles soient hébergées à l'hôpital ou chez un prestataire", a expliqué Philippe Cirre.

Dans le cas où un établissement de santé souhaiterait "découper" la prestation d'hébergement, à savoir par exemple conserver un data center en interne, mais faire assurer son infogérance par un prestataire, il faudra qu'il soit certifié pour la partie du service d'hébergement qui le concerne (ici l'infrastructure physique) et qu'il choisisse des prestataires certifiés pour ce qu'il externalise.

"On peut aussi choisir un schéma où l'offreur principal est certifié avec des sous-traitants qui ne le sont pas. Concrètement, ces derniers n'auront le droit d'héberger que dans le cadre du contrat du principal offreur certifié", a complété Jean-Christophe Dayet.

La certification interviendra sur la base d'un référentiel élaboré par l'Asip santé s'appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d'information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel), rappelle-t-on.

rm-wz/ab/

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Acteurs

InnovHealth lève 40 millions d'euros et devient le groupe franco-américain ReLyfe

PARIS (TICsanté) - La start-up rémoise InnovHealth part à la conquête des Etats-Unis et devient ReLyfe, après la finalisation d'une levée de fonds de 40 millions d'euros et l'acquisition de la société new-yorkaise BeCareLink, spécialisée dans l'intelligence artificielle (IA) médicale et les thérapies digitales (DTx).

0 521

En bref

Le CHU de Rennes certifié hébergeur de données de santé

Le CHU de Rennes a obtenu les certifications hébergeur de données de santé (HDS) et ISO 27001, ce qui ouvre de nouvelles perspectives en matière de mobilisation des données massives en santé (big data) au service de la recherche et de l’innovation, a annoncé l'établissement le 6 mai dans un communiqué.

0 460

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
2 + 1 =
http://www.canyon.fr/
https://groupepsih.com/business-intelligence-en-sante-hospivision/
http://www.phast.fr/live-snomedct-medicament/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 23/09/2021 au 24/09/2021