https://www.nehs-digital.com

Systèmes d'information

Hébergement de données de santé: les GHT exemptés de certification HDS sous certaines conditions (DGOS)

0 374

PARIS (TICsanté) - Les groupements hospitaliers de territoire (GHT) et leurs établissements membres peuvent être exemptés de certification hébergeur de données de santé (HDS) s'ils respectent plusieurs conditions, a expliqué la direction générale de l'offre de soins (DGOS) à TICsanté le 17 mars.

La loi du 26 janvier 2016 de "modernisation de notre système de santé" a remplacé la procédure d'agrément des hébergeurs de données de santé par une certification délivrée par un organisme certificateur accrédité par le Comité français d'accréditation (Cofrac), obligatoire depuis 2018, rappelle-t-on. En raison de la crise sanitaire, l'agrément a cependant été prorogé au-delà de la fin de l'état d'urgence sanitaire.

Concernant les établissements de santé, il existe "deux cas de figure", a résumé la DGOS.

Dans le premier cas, "un tiers héberge les données de santé [pour le compte des établissements], auquel cas, le tiers doit être certifié HDS".

L'Agence du numérique en santé (ANS) recense plus de 140 hébergeurs certifiés, dont des éditeurs de logiciels, des sociétés spécialisées dans l'hébergement, des groupes de cliniques et des CHU.

Dans le deuxième cas de figure, "si deux entités sont coresponsables, elles n'ont pas d'obligation d'être certifiées HDS". Ce cas s'applique aux GHT, a précisé la DGOS.

Cette notion de coresponsabilité a été introduite par le règlement général sur la protection des données (RGPD).

Elle "doit être cadrée", et les "conditions à remplir" pour respecter ce cadre dans le cas des GHT sont en train d'être élaborées par la DGOS.

"La coresponsabilité doit être indiquée dans un avenant à la convention constitutive du GHT, qui précise les conditions, les périmètres de traitement des données, et les établissements parties prenantes de la coresponsabilité", a-t-elle expliqué.

Si les établissements du GHT démontrent qu'ils sont coresponsables et mettent en place cet avenant, et dans ce cadre-là uniquement, il n'y a pas d'obligation d'être certifié HDS.

L'établissement support, ou un établissement partie missionné dans ce cadre, peuvent héberger les données pour le compte des autres établissements du groupement.

"Dans le cas le plus usuel, l'établissement support héberge les données pour le compte des autres établissements. Mais si, pour des raisons pratiques ou historiques, un établissement partie est mieux positionné pour l'hébergement, il peut être missionné. Dans tous les cas, l'avenant à la convention constitutive doit préciser" l'option choisie, a indiqué la DGOS.

Ces conditions pourront être intégrées au référentiel Maturin-H (maturité numérique des établissements hospitaliers), prévu par la feuille de route du numérique en santé (action 23), et qui concernera tous les établissements de santé.

Ce référentiel sera utilisé pour la certification des systèmes d'information hospitaliers (SIH).

Il intégrera "des paliers de maturité des SI, qui pourront s'appliquer aux GHT, et qui intégreraient un palier relatif à l'hébergement des données de santé".

Ces exigences seront "très proches, sinon égales, à celles du référentiel HDS". Elles s'appuieront sur des normes ISO existantes, dont la norme ISO 27001, indispensable pour la certification HDS.

Dans tous les cas, le choix reviendra aux Ă©tablissements.

Publication du référentiel "début 2022"

La DGOS prévoit de publier le référentiel Maturin-H "début 2022".

Dans l'intervalle, les GHT peuvent se référer "à la politique générale de sécurité des systèmes d'information de santé (PGSSI-S), aux exigences établies par circulaires, dont le plan d'action connu sous le nom d'instruction 309 et aux prérequis Hop'EN".

De plus, "le plan de relance cyber, en cours de finalisation, amènera des niveaux d'exigences que l'on souhaite faire converger dans Maturin-H", a ajouté la DGOS.

Sa publication sera précédée d'une "phase pilote" conduite avec "moins de 100 établissements", dont "des établissements publics ou privés, des GHT, des établissements MCO [médecine, chirurgie et obstétrique], psychiatriques, SSR [soins de suite et de réadaptation]..."

Elle durera "au moins 6 mois" et aura lieu cette année.
L'objectif est "d'avoir le référentiel le plus universel possible".

Cette première version du référentiel concernera uniquement les établissements sanitaires. Il "pourra être élargi aux établissements médico-sociaux" dans une deuxième version.

Concernant les GHT qui comprennent des établissements médico-sociaux, rien n'a été décidé.

"Nous allons uniformiser les exigences de sécurité" pour éviter "qu'il y ait un maillon faible", a assuré la DGOS.

Cette question pourra être abordée dans les "ateliers de coconstruction" qui seront lancés prochainement par la DGOS.

"Nous allons entrer dans un cadre précis de coconstruction avec les établissements, les fédérations, des experts, l'Agence nationale de la sécurité des systèmes d'information (Anssi), le fonctionnaire de la sécurité des systèmes d'information (FSSI)... Il y aura une concertation dès la conception" du référentiel.

Enfin, un accompagnement à la mise en oeuvre du cadre de coresponsabilité est prévu pour les éditeurs et les établissements.

La DGOS souhaite également "relancer" l'accompagnement à la convergence des SI pour les GHT, mis en pause en 2020, et les formations sur la sécurité à l'échelle des GHT, initiées avec l'Association nationale pour la formation permanente du personnel hospitalier (ANFH), pour les directions des SI (DSI) et les responsables de la sécurité des SI (RSSI) qui passent d'un à plusieurs établissements.

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Ségur: l'ANS informe les éditeurs sur l'éligibilité de leurs solutions numériques aux financements

PARIS (TICsanté) - L'Agence du numérique en santé (ANS) a publié le 30 avril une note d'information, à destination des éditeurs de solutions informatiques de santé, sur les dossiers spécifiques de labellisation et les référentiels associés éligibles aux financements prévus par le Ségur de la santé.

0 123

Systèmes d'information

Paiement différé par le patient à l'hôpital: les modalités du projet Diapason détaillées dans une note d'information

PARIS (TICsanté) - Une note d'information de la direction générale de l'offre de soins (DGOS) publiée en avril au Bulletin officiel détaille les modalités de participation et d'accompagnement des établissements de santé publics et privés à but non lucratif au projet Diapason (Débit intervenant après le parcours de soins), qui doit permettre aux patients de payer leur facture d'hôpital par un encaissement automatique différé.

0 177

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
4 + 7 =
http://www.canyon.fr/
https://mailchi.mp/groupepsih.com/hospivision-offre-resah

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 22/06/2021 au 23/06/2021

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021