Page 46 - SIH magazine

P. 46

SIH SOLUTIONS // SÉCURITÉ // SIH SOLUTIONS // SÉCURITÉ //

Nicolas PISTORIO
Consultant Expert e-santé d’hébergement, quel qu’en soit le support, Souvent l’éditeur logiciel est en défaut, il Hospitaliers Territoriaux et les GCS (Grou-
fait l’objet d’un contrat ». laisse des accès complets aux dossiers pa- pement de Coopération Sanitaire).
Le contrat inclura les différentes parties tients à plusieurs membres de son équipe : Le GCS constitue le prolongement de ses
Nicolas Pistorio évolue dans le domaine de la E-santé, depuis les années 2000. Début prenantes, il n’est pas exclusif entre l’hé- formateurs, développeurs, hotliners, etc. membres et agit en conséquence pour leur
2008, il est l’un des acteurs principaux de la success story Teranga et «papa» du logiciel bergeur, le responsable du traitement et Sous couvert de simplification des dé- compte, dans la limite des missions qui lui
NETSoins. Expert reconnu en E-santé, il crée la société de consulting Adviceo. Il est motivé l’établissement. marches de déploiement, formation et sont confiées. En tout état de cause, le GCS
par le bien être des personnes, œuvre au quotidien pour l’amélioration des organisations maintenance, des informations sont acces- est une personne morale distincte de ses
et services de soins (« prendre soin »). Son objectif : permettre aux différents acteurs de Et la relation tripartite Client-Éditeur- sibles alors qu’elles ne devraient pas. membres et a bien la qualité de tiers par
travailler avec des outils efficients, dans un écosystème cohérent, communiquant et intuitif. Hébergeur ? Aimeriez-vous que le contenu de votre rapport à ces derniers.
dossier médical ou celui d’un proche soit Attention également aux contourne-
Dans le cadre du déploiement d’une so- accessible à des personnes non habilités ? ments bien connus, avec des montages
Certes ces accès facilitent souvent bon
lution e-santé, il ne faut pas négliger la re- nombre d’actions, cependant des solutions contractuels et autres pratiques visant à
se soustraire à l’obligation de certification.
lation tripartite Client-Éditeur-Hébergeur.
HÉBERGEMENT Bien souvent, cette relation tripartite n’est techniques d’anonymisation ou de gestion Par exemple, le fait de nommer le contrat
d’hébergement « contrat de bail », peuvent
mise en lumière que lorsqu’il y a défaillance
des affichages pourraient être mises en
place, mais elles ne le sont pas nécessai-
du système. Dans tout système d’informa-
conduire à mettre en jeu la responsabilité
tion faisant appel à de multiples acteurs,
quand ça ne va pas, le client final regarde rement car coûteuses en temps et en res- pénale de « l’hébergeur », l’hébergement
sources pour les éditeurs…
de données de santé sans certification
les différentes parties se renvoyer la balle…
Veillez à ce que ce point soit bien respec-
constituant notamment un délit, puni de
DE DONNÉES l’issue du contrat de la prestation d’héberge- té et exigez qu’il soit correctement traité trois ans d’emprisonnement et de
En cas de “divorce” d’une des parties ? A
45 000€ d’amende (articles L.1115-1 et
par chaque acteur.
L’inspection générale des affaires sociales
ment, les données transmises à l’hébergeur
L.1115-2 du code de la santé publique).
doivent être restituées soit au patient soit au
professionnel de santé. L’hébergeur doit res- opère des contrôles qui peuvent conduire Faites appel à des experts
au retrait de l’agrément en cas de violation
DE SANTÉ pouvoir en garder trace dans ses fichiers. secret professionnel, obligation de confi- cessite une expertise à plusieurs niveaux
des prescriptions légales (non-respect du
tituer l’ensemble des données confiées sans
La démarche est complexe, longue et né-
dentialité enfreinte).
Lorsque c’est avec le patient directement
Vous dites HDS ? qu’est-ce que le contrat d’hébergement a été conclu, Par ailleurs, toute violation de ces disposi- (organisationnel, technique, réglementaire,
que c’est ? L’Hôpital Des ce dernier peut décider de le rompre à tout tions expose l’hébergeur et son personnel etc.) et souvent les décisionnaires du sys-
moment (cf obligations de réversibilité). à des peines pénales. tème d’information n’ont pas nécessaire-
Soucis ? Hébergement De Ainsi la violation du secret professionnel ment les compétences et/ou le temps.
Prenez en compte les modalités relatives est punie d’un 1 an d’emprisonnement et Faites appel à des experts qui pourront
Saltimbanques ? Non, non, aux éditeurs logiciels qui lorsqu’ils ne sont de 15 000€ d’amende (article 226-13 du vous guider pas à pas dans cette nouvelle
non, nous parlons ici de C’est l’ensemble des hébergeurs de don- Premièrement, l’audit vérifie le respect pas également hébergeurs, complètent Code pénal). démarche de certification.
nées de santé qui devront désormais ob- des normes : cette boucle tripartite Hébergeur-Edi-
l’Hébergement des Données tenir le précieux sésame : une certification • ISO 27001 « système de gestion de la teur-Client. Les exceptions, contournements...et Et pour ceux qui possédaient déjà un
délivrée par un organisme accrédité. sécurité des systèmes d’information » Afin d’éviter tout désagrément, assu- sanctions agrément ?
de Santé bien sûr ! Les La France, qui était l’un des pays à régle- (confidentialité, intégrité et disponibilité rez-vous, lors de la phase contractuelle que
menter le plus strictement l’HDS assouplit des données de santé). les éléments ci-dessous soient clairement La procédure de certification n’est pas ap- Pas de panique...Une période de transi-
vacances sont terminées
ses règles en la matière. • ISO 20000 « système de gestion de la détaillés : plicable pour tous. En effet, l’ASIP (Agence tion est définie pour les agréments délivrés
et c’est la rentrée avec qualité des services » • Les responsabilités de chaque acteur, des Systèmes d’Informations Partagées de avant le 31 mars 2018.
L’HDS c’est quoi ? • Les incidents, solutions et délais associés santé) rappelle ce point. Les agréments produisent leur effet
son cortège de dossiers à Pour obtenir une certification HDS, les A titre d’exemple, pour l’ASIP santé, dans jusqu’à leur terme. L’entrée en vigueur
C’est le traitement de données de santé à candidats auront la possibilité de faire va- Également, en cas de “divorce” d’une des la mesure où l’établissement héberge lui- de la procédure de certification n’a pas
gérer. Avec l’ordonnance caractère personnel recueillies à l’occasion loir une certification ISO 27001 préexis- parties, vérifiez que les actions associées même les dossiers hospitaliers, il n’a pas d’incidence sur les agréments. Lorsque
d’activités de prévention, de diagnostic ou tante dont le périmètre inclut l’héberge- au maintien du système d’information et sa besoin d’obtenir une certification. l’agrément arrive à échéance avant le 31
n° 2017-27 publiée le 12
de soins ou de suivi social et médico-social ment de données de santé. pérennité soit assurées. En revanche, si l’établissement met mars 2019, la durée de l’agrément est pro-
janvier 2017, puis le décret confiée à un tiers. Deuxièmement, le référentiel d’accrédi- Anticipez l’éventualité du départ du client son système d’hébergement au service longée pour une durée de six mois afin de
Les enjeux juridiques, financiers, tech- tation s’appuie sur les bonnes pratiques et les modalités de mise à disposition des d’autres établissements de santé, il est sou- permettre à l’hébergeur d’effectuer les
d’application de février 18 niques et assurantiels du statut d’héber- en vigueur pour l’audit et la certification de informations (format, contenu, mode de mis à la procédure de certification (en effet, démarches de certification nécessaires à
geur de données de santé font de cette systèmes de management de la sécurité de transfert, stockage, etc.) il deviendrait alors lui-même un hébergeur la poursuite de son activité d’hébergement
pour l’entrée en vigueur profession particulière, un domaine spéci- l’information et la norme ISO 17021 « Certi- de données de santé tiers par rapport à de données de santé.
depuis avril, la fin de la fique et rigide qui ne laisse pas la place au fication de systèmes de management ». Qui a accès aux données des patients ? l’autre établissement de santé). Cepen- Pour poursuivre son activité HDS, l’héber-
hasard. dant, nombreux sont les établissements et geur doit au plus tard, à la date d’échéance
procédure d’agrément par Le décret 2018-137 du 26 février 2018 N’oubliez pas cette question qui est au éditeurs à ne pas respecter ce point. Sont de son agrément, être certifié HDS.
En pratique, quels changements pour définit la procédure de certification et or- centre du secret professionnel et médical. directement concernés les Groupements
le ministère de la Santé pour les hébergeurs ? ganise la transition entre l’agrément et la
certification.
l’hébergement de données
Les changements sont profonds, princi- Ce qui change par rapport à l’agrément,
de santé prend forme. palement : la certification via une évalua- c’est entre autres la conception du dos-
tion de conformité technique remplace sier de demande de certification. Les exi-
Suivez le guide, dans l’agrément. L’hébergeur de données de gences qui relèveront de la responsabilité
santé sur support numérique devra, à par- des sous-traitants, devront être reportées Les enjeux juridiques, financiers, techniques et assurantiels du statut
cet article, petit tour tir du 1er avril 2018, non plus être agréé contractuellement. d’hébergeur de données de santé font de cette profession particulière,
mais certifié par un organisme accrédité.
d’horizon des nouveautés
L’article L.1111-8 du CSP impose la conclu- un domaine spécifique et rigide qui ne laisse pas la place au hasard.
réglementaires et quelques L’évaluation des hébergeurs candidats sion d’un contrat entre l’hébergeur de don-
résulte d’un audit en deux phases par l’or- nées de santé et l’établissement de santé
conseils. ganisme certificateur. ou la personne concernée : « La prestation
46 SIH Solutions // Octobre - Novembre - Décembre 2018 SIH Solutions // Octobre - Novembre - Décembre 2018 47

41 42 43 44 45 46 47 48 49 50 51