https://www.nehs-digital.com

Systèmes d'information

Comment bien gérer une demande d'agrément HDS et une certification ISO27001

0 438

PARIS, 2 février 2016 (TICsanté) - L'agrément hébergeur de données de santé (HDS) et la norme internationale ISO27001 reposent sur "des référentiels de sécurité de plus en plus convergents", a expliqué à TICsanté Loïc Thouvenot, consultant en sécurité des systèmes d'information, qui a fourni des éléments de méthodologie pour obtenir ces deux labels.

L'obtention de l'agrément HDS délivré par le ministère de la santé est indispensable à toute société qui souhaite accéder au marché du stockage et du traitement des données de santé. Les conditions de son obtention sont décrites dans un décret du 4 janvier 2006.

La certification ISO27001 est une norme internationale qui n'est pas obligatoire. Elle assure le respect de certaines règles de sécurité pour les systèmes d'information. Elle représente un gage de qualité et un atout commercial important pour le déploiement de projets IT à l'international.

"Les différences entre HDS et ISO27001 ont tendance à s'atténuer avec le temps, et je conseille aux entreprises qui doivent demander l'agrément HDS d'anticiper la certification ISO en cherchant un maximum de recoupements entre les deux", a souligné Loïc Thouvenot, qui a été chargé d'analyse "Hébergement des données de santé" à l'Asip santé de 2010 à 2013 avant d'intégrer le cabinet de conseil Oppida.

Le formulaire P6, à remplir pour la demande d'agrément HDS, atteste du niveau de sécurité global du système d'information d'une entreprise, et "constitue un référentiel très commun avec l'ISO", a-t-il indiqué à titre d'exemple.

Les particularités de l'agrément HDS tiennent surtout au respect du droit des patients, à des précisions sur la sauvegarde et la traçabilité des données hébergées.

Les entreprises qui souhaitent être agréées doivent consulter le rapport d'activité annuel du comité d'agrément hébergeurs de données de santé, disponible sur le site de l'Asip santé. Plusieurs aspects du référentiel de sécurité de l'HDS qui évoluent au cours du temps y sont précisés.

"Lorsque l'on dépose une demande d'agrément HDS, l'aspect pragmatique de la sécurité du système d'information est déjà traité. Il restera à ajouter une chape documentaire plus officielle, propre à la certification ISO", a détaillé Loïc Thouvenot.

Cette structure documentaire sera d'autant plus facile à fournir que l'entreprise aura anticipé sa demande de certification.

Elle pourra notamment prendre en compte dans sa demande d'agrément HDS les thèmes détaillés par l'ISO27002 pour décrire sa politique de sécurité des systèmes d'information (gestion des actifs, contrôle d'accès, relations avec les fournisseurs, sécurité liée à l'exploitation, etc.)

La certification ISO27001 demande également un engagement écrit de la direction à prendre en compte la sécurité informatique. Cette déclaration tient davantage de "l'enrobage", selon Loïc Thouvenot, estimant qu'elle "n'impactera pas directement le travail des administrateurs réseaux et des exploitants informatiques".

L'objectif est de démontrer que l'entreprise dispose d'un système de management de la sécurité de l'information (SMSI).

La différence entre l'agrément HDS et la certification ISO tient aussi à leur nature. L'agrément s'obtient sur des déclarations de bonne foi, tandis que la certification nécessite le contrôle d'un organisme certificateur au sein de l'entreprise.

Cependant, Loïc Thouvenot a rappelé que la Commission nationale informatique et libertés (Cnil), dispose d'un pouvoir de contrôle, et a incité les candidats à l'agrément à reconnaître leurs faiblesses.

"Il vaut mieux montrer clairement qu'il peut y avoir des failles dans le dossier, et s'engager à les prendre en compte pour les ajuster dans les années qui viennent", a-t-il conseillé.

rm/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Acteurs

InnovHealth lève 40 millions d'euros et devient le groupe franco-américain ReLyfe

PARIS (TICsanté) - La start-up rémoise InnovHealth part à la conquête des Etats-Unis et devient ReLyfe, après la finalisation d'une levée de fonds de 40 millions d'euros et l'acquisition de la société new-yorkaise BeCareLink, spécialisée dans l'intelligence artificielle (IA) médicale et les thérapies digitales (DTx).

0 484

En bref

Le CHU de Rennes certifié hébergeur de données de santé

Le CHU de Rennes a obtenu les certifications hébergeur de données de santé (HDS) et ISO 27001, ce qui ouvre de nouvelles perspectives en matière de mobilisation des données massives en santé (big data) au service de la recherche et de l’innovation, a annoncé l'établissement le 6 mai dans un communiqué.

0 425

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
6 + 7 =
http://www.canyon.fr/
https://groupepsih.com/business-intelligence-en-sante-hospivision/
http://www.phast.fr/live-snomedct-medicament/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 23/09/2021 au 24/09/2021