Mr Nepomiastchy H2AD EHealth

La collecte d’information sécurisée et la protection de la vie privée Pourquoi un agrément pour l’hébergeur dedonnées de santé, comment l’appliquer : retour d’expérience H2AD Serge Nepomiastchy – Directeur SI 17 novembre 2011

AgendaPourquoi un agrément pour l’hébergeur de santé, commentl’appliquer : retour d’expérience’• Le contexte et les acteurs• L’Agrément en tant qu’Hébergeur de Données de Santé à Caractère Personnel• Un retour d’expérience: H2AD

Le contexte et les acteurs• La loi – Informatique et Libertés – Code la Santé Publique• La CNIL - « l’informatique doit respecter l’identité humaine, les droits de l’homme, la vie privée et les libertés »• L’ASIP Santé - L’Agrément en tant qu’Hébergeur de Données de Santé à Caractère Personnel• H2AD – Une PME opérant un centre d’appels médicalisé et des solutions de télémédecine

Le contexte et les acteurs• La CNIL – « l’informatique doit respecter l’identité humaine, les droits de l’homme, la vie privée et les libertés » – Données de santé: 5 principes issus de la loi Informatique et Libertés: • Finalité: données recueillies pour un usage déterminé et légitime • Pertinence • Droit à l’oubli • Sécurité et confidentialité • Droits des personnes – Information – Droit d’accès et rectification

Le contexte et les acteurs• L’ASIP Santé – « Agence Nationale des Systèmes d’Information partagés » créée en 2009 – 3 Chantiers « historiques » • L’Interopérabilité • La CPS – Carte Professionnelle de Santé • Le DMP – Dossier Médical Personnel – L’Agrément en Tant qu’Hébergeur de Données de Santé à Caractère Personnel

Le contexte et les acteurs• H2AD – PME créée en 2004 – 40 collaborateurs – Centre d’appels médicalisé opérationnel en 24/7 depuis le 1er janvier 2006 – Solutions de télémédecine: système Twitoo – Agréé Hébergeur de Données de Santé depuis Février 2010

L’Agrément en tant qu’Hébergeur de Données deSanté à Caractère Personnel• Les principes de l’agrément – Organiser le dépôt et la conservation des données • Garantir leur pérennité et leur confidentialité • Définir par contrat les modalités de mise à disposition de ces données • Restituer les données en fin de contrat – Distinguer le responsable des « traitements » et l’ « hébergeur des données de santé » • La Loi Informatique et Libertés s’applique au responsable des traitements • Les responsable des traitements sous-traite l’activité d’hébergement • L’hébergeur est soumis à l’agrément – La présence d’un « Médecin Hébergeur » – Un établissement de santé qui héberge lui-même les données de santé de ses patients n’est pas soumis à l’agrément

L’Agrément en tant qu’Hébergeur de Données deSanté à Caractère Personnel• La procédure d’agrément – Constitution du dossier d’agrément • Présentation du service d’hébergement • Analyse des risques • PSSI • Déclaration des sous-traitants • Modèles de contrats types • Dispositions de sécurité – 8 mois d’instruction par l’ASIP et la CNIL – Agrément valable 3 ans – Procédure de mise à jour de l’agrément • Auto-évaluation au minimum annuelle • Procédure de renouvellement au bout de 3 ans avec audit

L’expérience d’H2AD• Le métier H2AD – Des caractéristiques particulières • Taille: PME • Offre de services complète – Un plateau médicalisé 24/7 – Une application logicielle « dossier de suivi médical » des patients – Des solutions de maintien à domicile et de téléalarme – Des solutions de télémédecine • Offre de services intégrée – Fourniture des services humains et médicaux – Fourniture de l’application logicielle sous-jacente – Hébergement des données de santé générées – Une expérience de terrain • Plateau opérationnel sans interruption depuis janvier 2006

L’expérience d’H2AD• H2AD et l’agrément hébergeur – Une approche fonctionnelle • Plateau médicalisé 24/7 • Procédures manuelles et automatique de contrôle • Un suivi structuré des conditions de mise en œuvre de l’agrément – Médecin hébergeur et contrôles qualité – Commission de Sécurité du Système d’Information – Comité Juridique et Déontologique – Site Intranet dédié – Une procédure d’obtention longue • Préparation interne du dossier: 4 mois • Dépôt, instruction, questions/réponses: 8 mois • Notification en février 2010

L’expérience d’H2AD• Un agrément complexe à « manier » – La frontière traitement/hébergement pose question • Chiffrement et authentification • Continuité de service • Accès aux données par le médecin hébergeur – La PSSI – un outil interne pertinent mais complexe • Quel périmètre – Un nouveau client = un nouveau contrat type = mise à jour de l’agrément? • Mises à jour fréquentes • Evolutions « non substantielles » ou nouvel agrément?

En vous remerciant… – Quelques liens: • http://www.afhads.fr • http://esante.gouv.fr • http://www.cnil.fr • http://www.h2ad.net Serge Nepomiastchy Directeur Système d’Information H2AD sn@h2ad.net

Mr Nepomiastchy H2AD EHealth

by DigiWorld by IDATE

Accessibility

Upload Details

Usage Rights

Statistics