Vous êtes dans : Accueil > cnil >
Pas une semaine ne se passe sans qu’on lise, dans la presse spécialisée, des articles à qui mieux mieux sur les difficultés de mise en œuvre des GHT, laquelle va être compliquée, voire impossible sans fusion, etc.
Récemment sur les réseaux santé[1], on a vu tomber cette annonce a priori anodine : les quatre fédérations hospitalières refusent d’intégrer l’Institut national des données de santé (INDS). Anodine, car de prime abord on finit la lecture de l’article en se disant : oui, bon, et alors ?
Impacts sur l’environnement technique, humain et organisationnel gravitant autour des données de santé à caractère personnel, rôle et responsabilités du Data Protection Officer (DPO), adaptation de l’offre industrielle sont quelques-uns des thèmes introduits par le règlement général sur la protection des données (RGPD). Benjamin Benifei, juriste-conseil, et Yasmina Janati, responsable Gouvernance SSI et consultante chez Itrust, décryptent leurs conséquences sur les établissements de santé.
Excellent article[1] de Pierre Desmarais sur son blog concernant la légalisation de l’utilisation du NIR (numéro Insee) dans le monde de la santé.
Dans un monde idéal, les échanges d’e-mails ne donnent pas lieu à une exploitation informatique de leur contenu, et encore moins à l’insu de leur auteur.
Cela faisait longtemps que l’on entendait parler, 35 ans vous diront ceux qui étaient là bien avant moi !
Un SOC (Security Operations Center) permet d’analyser et de monitorer en temps réel l’activité des SI d’une structure avec l’objectif de détecter les vulnérabilités et les menaces, mais aussi d’identifier et d’analyser les intrusions et leur impact afin de mettre en place la réponse adaptée. Encore faut-il être sûr de la fiabilité et de la robustesse de son SOC ! Forte de son expertise en sécurité informatique, la société ITrust propose une offre innovante : le Stress Test SOC. Objectif : mettre sous pression votre SOC ! Entretien avec Marion Godefroy, Marketing and Communication Manager.
Il y a des semaines comme cela où l’on respire un peu : mis à part les habituelles failles et autres attaques, pas beaucoup de news à se mettre sous la dent de souris. Alors on regarde un peu autour, et on tombe sur des trucs qui interrogent tout de même un peu.
Le Centre Hospitalier Intercommunal Eure-Seine est le premier Centre Hospitalier « général » à avoir mis en œuvre les moyens nécessaires à l’obtention de l’agrément « Hébergeur de données de santé à caractère personnel » délivré par le Ministère des Affaires Sociales, après un processus d’étude par l’ASIP Santé et par la CNIL. Ses datacenters d’Evreux et de Vernon, ses architectures techniques modernes, la pluralité de ses équipes ainsi que le respect d’une politique de sécurité musclée en font un acteur de santé publique clé pour la région Normandie. Il offre une solution d’hébergement d’applications critiques, avant tout pour les établissements membres de son G.H.T., mais aussi potentiellement pour les membres du GCS Télésanté normand, et consolide l’établissement sur la maîtrise de ses données à long terme.
Le magazine Zataz a récemment rendu compte[1] d’une fuite de données au sein de l’hôpital public de Londres. La CNIL anglaise (ICO) vient en effet d’infliger une amende de 200 000 livres sterling à une société informatique indienne (HCA) qui envoyait des comptes rendus médicaux dictés sous un format non chiffré, directement sur Internet.
Selon l’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Dans son avis[1] sur le système national de données de santé publié le 28 décembre dernier, la CNIL émet un certain nombre de remarques vis-à-vis du dispositif.
Co-organisé par la DSSIS (délégation à la stratégie des systèmes d’informations de santé), le service du HFDS (haut fonctionnaire de sécurité), la DGOS (direction générale de l’offre de soins) et l’ASIP Santé, orchestré par Philippe BURNEL (DSSIS), le deuxième colloque de la sécurité des systèmes d’information de santé, s’est déroulé mercredi 14 décembre au Ministère des affaires sociales et de la santé.
Le niveau de conscience en matière de sensibilité des données est assez représentatif du niveau de maturité des différents secteurs en termes de protection des données.
Près de 50 000 applications santé sont actuellement disponibles et de nouvelles apparaissent chaque jour. Certaines proposent des conseils individualisés, recueillent des données personnelles (poids, tension, fréquence cardiaque,…), ou délivrent des informations médicales. Leur développement se fait toutefois sans cadre prédéfini, ce qui soulève de nombreuses questions concernant leur fiabilité, la réutilisation des données collectées ou le respect de la confidentialité notamment. C’est pourquoi la HAS publie aujourd’hui un référentiel de 101 bonnes pratiques pour favoriser le développement d’applications et objets connectés sûrs, fiables et de qualité.
Les obstacles au développement des usages en santé mobile tombent petit à petit. Tous les acteurs de l’écosystème s’y mettent, des mutuelles à la Haute Autorité de santé en passant par les établissements… et les Agences régionales de santé. Retour sur les initiatives les plus marquantes de ces derniers mois.
La loi du 26 janvier 2016 portant réforme de notre système de santé, affiche une volonté d’ouverture des données de santé, mais peine à convaincre sur l’ambition que doit se donner la France en la matière. Le Healthcare Data Institute alerte sur la complexité du dispositif mis en place et formule des propositions pour la lever.
Depuis sa sortie il y a un peu plus d’un an maintenant, Microsoft force lourdement la main aux particuliers comme aux professionnels pour migrer vers son ultime système d’exploitation. Windows 7 reste dans nos établissements l’OS [1] client dominant, accompagné d’une poignée de Windows XP réticents au départ en retraite.
La série d’articles de Cédric Cartau a bien mis en évidence la fragilité conceptuelle du modèle actuel de l’hébergement de données de santé. Puisqu’il est en cours de refonte, il me semble intéressant de creuser un peu plus sur les origines de cette faiblesse afin de s’assurer qu’elle ne sera pas reconduite.
Dans un précédent article[1], je faisais part d’un cas étrange de ce qui pourrait être considéré par certains comme un détournement de l’esprit du décret. Pas mal de remarques et de commentaires de lecteurs à cet article allaient de « ah oui ! on voit bien la limite du décret » à « il s’agit clairement d’un détournement des textes puni par la loi ». Je tiens cependant à préciser qu’à ma connaissance aucun des commentateurs n’est juriste.
Lorsque l’on aborde le sujet de l’assurance IT [1] avec la DG [2], le discours est souvent le même : « Nous avons souscrit une assurance tous risques informatiques, nous sommes donc couverts pour tout. » Mais nous avons souvent tendance à confondre « assurance informatique » et « cyberassurance ». Les polices d’assurance dites « classiques », même appelées « tous risques informatiques » ne couvrent pas tous les sinistres, loin de là !
En amont d’un séjour hospitalier, il est légitime de se demander : « Dans quel hôpital pourrais-je bénéficier des meilleurs soins ? ». Les patients se retrouvent parfois désarmés au moment de choisir leur établissement de soins.
Les copieurs multifonctions ou MFC (pour Multiple Function Copiers en anglais) sont présents dans nos établissements depuis de nombreuses années.
La T2A a sans conteste été une révolution dans le monde de la santé : faut-il rappeler qu’avant sa mise en place et sa généralisation sur le territoire, le mode de financement des établissements consistait peu ou prou à prendre les budgets des années précédentes et à les reporter sur l’année d’après avec une augmentation de quelques pourcents.
L’APSSIS clôture son cycle de formation sur la sécurité des systèmes d’information de santé en proposant une session spéciale à Dinard, coorganisée avec DSIH Magazine. Ces trois jours s’adressent aux professionnels désireux de comprendre la problématique sécurité, son environnement réglementaire et juridique, les modalités de mise en œuvre opérationnelle de la SSI au cœur d’un établissement public ou privé ainsi que la pédagogie à déployer pour en faire un projet transversal compris et accepté. La future gouvernance de la SSI au sein des GHT sera l’un des sujets récurrents des trois jours.
Les outils « Helpdesk », également appelés « outils d’assistance utilisateur », de « support hotline » ou encore de « ticketing » sont aujourd’hui incontournables pour de nombreuses DSI [1].
Pas si courant mais tout de même, surtout dans le contexte d’une judiciarisation croissante de la santé, les établissements de soins sont de plus en plus confrontés à des demandes, provenant des patients bien entendu, non seulement d’accès aux données médicales, mais surtout d’accès aux traces de connexion à ces mêmes données.
Créée en 2008, Medimail est une solution de messagerie sécurisée de santé compatible MSSanté qui a vu le jour grâce à l’impulsion de l’URPS Midi-Pyrénées et du Centre hospitalier intercommunal de Castres-Mazamet. Huit ans plus tard, cette solution se hisse au rang de première messagerie MSSanté de France avec plus de 7 000 comptes MSSanté, 150 établissements déclarés et 100 000 envois effectués tous les mois, dont 40 000 qui transitent par l’espace de confiance MSSanté.
Au cours de la séquence juridique, organisée lors du Congrès national de la sécurité des systèmes d’information de santé, le regard expert des avocats Me Pierre Desmarais et Me Omar Yahia a porté sur les aspects importants de la loi de santé 2016, pour le secteur SI.
Conscients des enjeux attachés à l’évolution de la biologie médicale en France et notamment dans les échanges entre professionnels de santé, la Société Française d’Informatique de Laboratoire (SFIL), qui regroupe des biologistes, des laboratoires de biologie médicale et des industriels, et la Fédération des Editeurs d’Informatique Médicale et Paramédicale Ambulatoire (FEIMA), qui regroupe les principaux éditeurs de logiciels du secteur médical et paramédical ambulatoire, ont toujours été des acteurs mobilisés pour accompagner les modifications réglementaires.
Alsace e-santé présentera sa démarche régionale de sécurité des systèmes d’information de santé appelée Capssis, lors du Congrès national de la sécurité des systèmes d’information (SSI), le mardi 5 avril 2016, au Mans.
L’acteur hospitalier de référence de la lutte contre le cancer innove avec une première application mobile totalement personnalisée et sécurisée pour accompagner chaque patient dans son parcours de soin.
L'AFCDP demande une clause « DU GRAND PÉRE »
La grande affaire de la semaine est sans conteste celle de Volkswagen, qui vient d’avouer avoir triché dans les tests anti-pollution lui permettant de vendre ses véhicules sur le marché américain.
Pas facile de représenter les pouvoirs publics, le contrôle, la régulation, lors d’une conférence consacrée à la transformation numérique ! Yannick Le Guen, sous-directeur à la DGOS (1), et Olivier Desbiey, de la Cnil, avaient donc accepté le tenir « le mauvais rôle », celui des « empêcheurs de transformer » dans une assemblée réunie (2) pour dresser un état des lieux de la e-santé en France et de ses conditions de succès.
Finalement l'année a été riche dans sa première partie. Petit travelling arrière.
Les objets connectés « bien-être et santé » sont au premier rang des contrôles prévus par la Cnil cette année. La Commission nationale informatique et libertés a annoncé fin mai qu’elle donnait un coup d’accélérateur à ses procédures de contrôle puisqu’elle en prévoit environ 550 pour l’année, contre 421 l’an passé.
Revenons un peu sur une des dernières mesures de la loi de santé 2015, à savoir le choix du numéro d'INSEE (NIR) comme identifiant national de santé (INS). Rien n'est encore joué, et même si la décision est tenue ce n'est pas la fin du film.
A la manière d'une série télévisée de catégorie B genre année 80 – et de son univers impitoya-a-bleuuuu -, la loi de santé 2015 nous distille jour après jour ses avancées et nouvelles en tout genre.
Le Conseil national de l’Ordre des Médecins, réuni en session plénière, demande la réécriture de l’article 47 du projet de la loi santé relatif à l’accès aux bases de données de santé.
Il y a un peu plus de deux ans, le Conseil national de l’Ordre des médecins (CNOM) invitait les médecins à s’approprier les outils du web santé en publiant un livre blanc intitulé « Déontologie sur le web ». Il poursuit aujourd’hui son travail de pédagogie – et d’évangélisation – avec la diffusion d’un nouvel ouvrage consacré à la santé connectée.
Entendons-nous bien : il ne s'agit pas de dénigrer une institution par plaisir, mais bien de poser une question de fond, même si elle fâche.
Le 8 décembre 2014, à l'Unesco et en présence du Premier ministre, la Présidente de la CNIL a dévoilé la « Déclaration commune des autorités européennes de protection des données réunies au sein du groupe de l'article 29(1) ».
Les plus lus