Vous êtes dans : Accueil > Tribunes libres >

Programme Hop’en : « Hôpital numérique ouvert sur son environnement », quoi de neuf docteur ? (focus sur les prérequis)

Auriane Lemesle , MARDI 26 FéVRIER 2019 Soyez le premier à réagirSoyez le premier à réagir

Ma santé 2022, stratégie de transformation du système de santé, comporte sa feuille de route tant attendue pour les SIH. L’instruction n° DGOS/PF5/2019/32 précise les modalités de mise en œuvre opérationnelle du programme Hop’en, dont le financement de 420 millions répartis par région selon l’activité combinée des établissements. Les modalités de candidature des GHT y sont également spécifiées. Calqué sur le programme Hôpital numérique (HN), Hop’en conserve le modèle de financement à l’usage, mais sur sept domaines fonctionnels et à la condition d’atteindre un socle de maturité constitué non plus de trois, mais de quatre prérequis. Les guides des indicateurs de prérequis et des domaines fonctionnels sont mis en concertation jusqu’au 8 mars.

D’une manière générale, l’ensemble des prérequis du précédent programme ont été conservés (éventuellement regroupés) et leurs cibles rehaussées. L’Apssis souhaite mettre en évidence les nouveautés qui, pour la plupart, consistent en des mises en cohérence avec les textes parus depuis 2012.

Identités, mouvements

En cohérence avec le décret n° 2017-412 de mars 2017, les applications doivent intégrer l’identifiant national de santé.

Sécurité

La thématique concernant la continuité d’activité regroupe désormais les exigences concernant l’existence de procédures pour le fonctionnement en mode dégradé et la formalisation du plan de reprise d’activité. Notons que ce dernier doit dorénavant être doté d’un plan de tests mis en œuvre.

En plus de l’existence de la politique de sécurité du SI (qui aura été révisée et alignée avec la PGSSI-S) et de celle d’une analyse de risques, un plan d’actions doit être formalisé et suivi en intégrant les 19 actions du « Plan d’action SSI » (instruction n° 309 pour les intimes). Une attention est portée sur l’existence de la procédure de signalement des incidents graves de sécurité du SI. Un point d’importance : bien que déjà précisée par la PSSI-MCAS (RSSI placé auprès de l’AQSSI, et sans lien de subordination avec la DSI), l’indépendance du RSSI vis-à-vis de la SSI est une exigence d’Hop’en ! Ce à quoi s’ajoute la tenue de deux entretiens annuels avec la direction pour faire un point de situation sur les incidents, les risques, les actions entreprises… Selon les organisations, une présentation lors d’une instance à laquelle siège la direction pourra probablement être aussi admise.

Déjà attendu dans le cadre de l’homologation de sécurité et pour les OIV/OSE, un nouvel indicateur vient se greffer : la réalisation régulière d’un audit externe. L’instruction précise les thématiques d’audits admises : applicatif, centre de serveur, réseau, plateforme de téléphonie et plateforme de virtualisation ou de système industriel.

Confidentialité

Afin de simplifier la gestion et d’opérer une cohérence avec l’instruction n° 309, il est recommandé que la charte d’accès et d’usage du SI soit annexée au règlement intérieur (ce qui n’évite pas sa diffusion aux acteurs).

On s’y attendait, un indicateur incite une nouvelle fois les structures à se mettre en conformité avec le RGPD et la loi Informatique et Libertés modifiée en juin 2018 en identifiant une fonction DPO. Celui-ci peut être mutualisé ; il doit s’assurer de la tenue du registre des traitements (avec les droits d’accès afférents) et produire un rapport d’activité. Dans le même esprit, les patients doivent aussi être informés des modalités d’exercice de leur droit d’opposition au traitement de leurs données à caractère personnel.

Échange et partage

Dernière nouveauté, l’apparition d’une thématique socle « Échange et partage » avec des exigences concernant les services nationaux : alimentation du DMP et utilisation d’une messagerie intégrée à l’espace de confiance MSSanté. Notons également l’exigence de peuplement du ROR sur les champs d’activité MCO, SSR et Psy.

Le président me tape sur l’épaule pour me rappeler que nous ne manquerons pas de revenir sur ces sujets lors du prochain Congrès de l’APSSIS. Rendez-vous en avril donc !

Auriane-LemeslePar Auriane Lemesle
Secrétaire générale Apssis

numérique, sih, sécurité, rssi, national, sécurité du si, RGPD