L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    

    Politique

    Hébergeurs de données de santé: ce qu'il faut retenir du passage à la certification

    PARIS (TICpharma) - Le délégué à la stratégie des systèmes d'information de santé (DSSIS) par intérim, Philippe Cirre, a détaillé dans un entretien accordé à TICpharma l'impact du passage d'un régime d'agrément à une procédure de certification des hébergeurs de données de santé (HDS), prévue par un décret publié le 28 février au Journal officiel.

    Ce texte est pris en application de la loi du 26 janvier 2016 de modernisation de notre système de santé et de l'ordonnance du 12 janvier 2017 relative à l'hébergement des données de santé à caractère personnel, rappelle-t-on (voir dépêche du 16 janvier 2017).

    La loi prévoit le transfert de la procédure d'agrément "Hébergeur de données de santé à caractère personnel" (HDS), actuellement assurée par un comité placé auprès de l'Agence des systèmes d'information partagés de santé (Asip santé), à une certification.

    "Nous passons d'un dispositif d'agrément franco-français assuré par l'Etat à une certification 'européen-compatible' confiée à des organismes certificateurs agréés", a souligné Philippe Cirre.

    Il s'agit par ce biais d'"améliorer les délais et la transparence sur les modalités de délivrance des autorisations", d'"ouvrir le marché à la concurrence" en faisant reposer la certification sur des normes internationales, et de "faciliter le changement de prestataire pour les professionnels de santé", a complété Jean-Christophe Dayet, ingénieur à la DSSIS chargé des services de confiance et de la dématérialisation des données personnelles.

    "La demande d'agrément contenait jusqu'ici à la fois la prestation d'hébergement et l'application informatique qui nécessitait cet hébergement. Si l'acteur de santé voulait changer de prestataire, il devait repasser par une demande d'autorisation pour son application", a-t-il précisé.

    Contractualisation avec l'hébergeur

    Le décret publié au Journal officiel fixe les modalités de mise en œuvre de la procédure de certification, le périmètre d'application du dispositif et la période de transition entre la procédure d'agrément et de certification, qui entrera en vigueur le 1er avril.

    Il détaille les clauses minimales que doit comporter le contrat d'hébergement et les activités concernées, à savoir la sauvegarde des données de santé, l'administration et l'exploitation du système d'information (SI) contenant les données, et la mise à disposition et le maintien en condition opérationnelle:

    • des sites physiques permettant d'héberger l'infrastructure du SI traitant les données
    • de l'infrastructure matérielle du SI
    • de l'infrastructure virtuelle du SI
    • de la plateforme d'hébergement d'applications du SI.

    La procédure de certification est applicable à "toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même", précise le décret.

    Le texte ajoute toutefois qu'un "hébergement temporaire de données n'ayant pas pour finalité d'organiser leur accès ou leur transmission au profit du responsable de traitement, du patient ou de tout professionnel participant à la prise en charge de la personne concernée par les données" ne constitue pas une activité d'hébergement.

    Professionnels de santé, établissements et industriels concernés

    L'impératif de certification vaut notamment pour un hôpital qui héberge les données générées par un autre établissement de santé, par exemple dans le cadre d'un groupement hospitalier de territoire (GHT), ou pour un industriel qui propose un dispositif médical connecté s'inscrivant dans un parcours de soins ou dans une action de prévention, a expliqué Philippe Cirre.

    Les structures qui ont déjà un agrément en disposeront jusqu'à la fin de sa durée de validité, à savoir trois ans, et seront ensuite obligées d'être certifiées.

    "Toutes les demandes d'agrément qui auront été déposées avant le 1er avril seront instruites selon l'ancien dispositif", a précisé Jean-Christophe Dayet.

    Par ailleurs, les agréments qui arriveront à échéance d'ici mars 2019 seront prorogés de six mois, afin de "laisser le temps aux acteurs de se préparer à la certification", a-t-il poursuivi.

    La nouvelle réglementation comprend aussi l'obligation, pour l'acteur de santé, de vérifier si son prestataire hébergeur est certifié. "Sinon, sa responsabilité sera engagée", a appuyé Jean-Christophe Dayet.

    En cas de fuite de données, et si l'hébergeur était bien certifié HDS, "on recherchera la faute sur la façon dont l'hébergement a été fait", a-t-il ajouté.

    La certification interviendra sur la base d'un référentiel élaboré par l'Asip santé s'appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d'information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel), rappelle-t-on.

    Décret n°2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel

    La Rédaction
    redaction@ticpharma.com

    À suivre

    Une majorité de Français favorable à l'utilisation de l'intelligence artificielle en santé

    Acteurs

    Oncologie: Roche vise un marquage CE pour son "compagnon digital" en 2019

    PARIS (TICpharma) - Le laboratoire Roche met actuellement en place de premiers essais cliniques sur son "compagnon digital" Zemy, développé avec l'éditeur Voluntis pour le suivi personnalisé et à distance des patients traités pour un cancer du sein, avec l'objectif d'obtenir un marquage CE "début 2019", a indiqué à TICpharma Christine Lhomel, responsable opérations médicales et relations scientifiques chez Roche Pharma France.

    0 203

    Etudes

    L'intérêt des systèmes de télésurveillance pour défibrillateurs confirmé sous conditions (HAS)

    SAINT-DENIS (Seine-Saint-Denis) (TICpharma) - La commission nationale d’évaluation des dispositifs médicaux et des technologies de santé (Cnedimts) a confirmé l'intérêt médical du suivi des défibrillateurs automatiques implantables (DAI) par la télésurveillance et donné un avis favorable au renouvellement de l'inscription des 5 systèmes pris en charge actuellement, tout en précisant les conditions minimales à satisfaire pour réaliser cette télésurveillance, selon un rapport d'évaluation publié fin août par la Haute autorité de santé (HAS).

    0 105

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    5 + 3 =