RGPD314 documents taggés

L’AFCDP vous présente la 3ème édition de son Baromètre trimestriel

Avec son Observatoire trimestriel, l’AFCDP souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.

RGPD : de la difficulté d’identifier le responsable de traitement

Un des fondamentaux du RGPD concerne l’identification du responsable de traitement (RT), notion consubstantielle à celle de traitement. L’identification du RT et d’éventuels sous-traitants (ST) est indispensable pour la suite de la mise en conformité : appréciation des risques, clauses de sous-traitance, détermination des responsabilités, etc.

Lancement de Sesali, mise à jour de Convergence, nouvelle mouture du serveur multi-terminologies : l’ANS en pleine effervescence

Cet été, l’Agence du numérique en santé (ANS) semble ne pas avoir fait de pause. Fin juillet, elle annonçait l’ouverture du Service européen de santé en ligne (Sesali) qui permet aux professionnels de santé de consulter les données de santé de patients européens. Par ailleurs, le portail Convergence a été mis à jour avec de nouvelles fonctionnalités et la nouvelle version du serveur multi-terminologies a été mise en production.

Préparation aux certifications : un accompagnement au plus proche du terrain avec GPLExpert

Avec le référentiel Maturin-H, prochainement disponible, et la version V2020 de la Haute Autorité de santé (HAS) structurant la certification des établissements de santé, c’est un nouveau paradigme qui se met en place. Pour aider les établissements à préparer ces certifications, GPLExpert – société informatique spécialisée en santé depuis 13 ans – a développé un accompagnement transversal et sur mesure qui s’appuie sur la connaissance du terrain de ses consultants.

Le RGPD pour prévenir les risques liés à la cybermalveillance

Au-delà de son aspect purement réglementaire, face à la recrudescence des cyberattaques, le RGPD représente un levier d’amélioration de la sécurité des données de santé pour les établissements sanitaires et médico-sociaux. Entretien avec Charlotte BAL, Consultante WELIOM

Contrôle d’accès dans les structures de soins, ce qu’il faut savoir

La sécurisation et le contrôle des accès dans un établissement de santé peuvent sembler, a priori, contradictoires, un hôpital étant par nature un lieu ouvert. Pourtant, le contrôle des accès à certaines zones s’avère nécessaire. Explications avec Vivian Pelletier, directeur produits sûreté d’Horoquartz[1].      

Dedalus scelle un partenariat stratégique avec ObvioHealth, pour réunir les données du monde réel issues de Dossiers Patients Informatisés et les données des essais cliniques

Le Groupe Dedalus, le principal éditeur de solutions logicielles pour la santé et le diagnostic en Europe, fait pleinement entrer les données issues d’essais cliniques dans le continuum de soins grâce à un nouveau partenariat stratégique avec ObvioHealth, une organisation mondiale de recherche virtuelle (ORV). Ce partenariat réunira les solutions logicielles de Dedalus et les outils propriétaires d’ObvioHealth dédiés aux essais cliniques décentralisés. Il permettra en outre de faire le lien entre la recherche clinique et les données issues de Dossiers Patient Informatisés, tout en accompagnant les professionnels de santé de plus de 6 000 hôpitaux et cliniques dans le monde pour proposer des soins à plus de 330 millions de patients.

Le premier code de conduite européen du Cloud validé par la Cnil

Le 11 juin, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé l’approbation dupremier code de conduite européen des fournisseurs de services d’infrastructure Cloud relatif à la protection des données, porté par Cloud Infrastructure Services Providers in Europe (Cispe).

L’IA en santé : début des grandes manœuvres

L’Union européenne, toujours prompte à dégainer le réglementaire, même (et surtout) pour les trucs qui n’existent pas encore, a manifestement décidé de réglementer l’IA – et là, c’est pour la bonne cause. Face aux risques inhérents à ce type de technologie, la Commission a proposé un cadre juridique sous la forme d’un projet de règlement (Artificial Intelligence Act), qui entrera en vigueur dans un délai compris entre deux et quatre années et sera associé à un plan coordonné d’actions.

Rapport annuel de la Cnil : augmentation des violations de données

Le 18 mai dernier, la Cnil a publié pour 2020 son 41e rapport annuel qui pointe une activité fortement marquée par la crise sanitaire, mais également par les nouvelles règles sur les cookies, la cybersécurité et la souveraineté numérique.

Achetez mon Zero Trust, il est beau mon Zero Trust !

Contrairement à ce que certains commerciaux voudraient nous faire croire, tout comme la conformité au RGPD, le Zero Trust, n’est pas une solution commerciale sur étagère !

Transferts de données entre l'UE et le Royaume-Uni : conséquences pour le secteur européen des soins de santé

La décision de certains députés européens de s'opposer aux décisions d'adéquation du Royaume-Uni ignore les implications réelles pour la santé européenne.

Le bac à sable de la Cnil pour accompagner l’innovation

La Cnil accompagne des projets innovants dans le domaine de la santé, comportant des enjeux emblématiques en termes de protection de la vie privée dans une démarche de « bac à sable ».

L’assurance cyber ne dispense pas d’élever son niveau en matière de sécurité, bien au contraire !

Si vous pensez faire des économies sur votre budget sécurité en souscrivant une police d’assurance cyber, et en vous disant « m’en fout ! j’suis assuré », je crois que vous faites fausse route.

Cyberattaque en milieu hospitalier : les 10 commandements du DSI

Dax, Trévoux, ou encore l’AP-HP, on ne compte plus le nombre de cyberattaques visant les hôpitaux et établissements de santé ces derniers mois. Les conséquences de ces cyberattaques dépassent largement le monde numérique dans ces milieux hospitaliers, qui voient leur service tourner au ralenti et dont les retombées pourraient être fatales. 

OVH, crépuscule de l’externalisation ?

L’actualité cyber de ce début 2021 a été particulièrement chargée : outre les cyberattaques dans le monde de la santé (dont certaines sont toujours en cours), nous avons assisté à un énorme incendie chez OVH, doublé d’une faille majeure dans Exchange, qui a donné quelques sueurs froides aux adminsys. Pour OVH, on en est au second incendie en à peine 15 jours[1], ça commence à faire beaucoup, on est d’ailleurs en droit de se demander s’il ne s’agit pas d’une sombre affaire de barbouzes (« Un barbu, c’est un barbu, trois barbus, c’est des barbouzes », comme disait Michel Audiard).

Enovacom complète son offre de messagerie sécurisée pour répondre à tous les cas d’usage du monde de la santé

Enovacom complète son offre de messagerie sécurisée. Elle permet désormais de collaborer à la fois entre professionnels de santé, mais aussi avec vos partenaires et vos patients de façon sécurisée et simplifiée.

Pour un patient maître de ses données de santé

Le 12 janvier, le Cercle Prévention & Santé et le Club Numérique & Territoires de Com’Publics ont présenté leur livre blanc « Pour un patient maître de ses données de santé ».

Positif au Covid-19 : une donnée de santé pas comme les autres ?

Ayant récemment goûté aux joies d’une intrusion dans mon intimité nasale, mais plus simplement dans mon intimité « tout court », j’en viens à me demander qui sait que j’ai réalisé cette démarche et qui connaît les résultats ?

L’AFCDP partage les défis de DPO pendant le confinement

À l’écoute de ses adhérents, l’AFCDP a souhaité partager trois retours d’expérience de DPO qui ont relevé des défis différents liés au premier confinement de la crise COVID. Ci-dessous, le témoignage de Moufid Hajjar, Délégué à la protection des données au CHU de Bordeaux.

Sécurité et maîtrise du SI : l’enjeu du programme ESMS numérique

Le niveau de confidentialité de la prescription de statines de ma grand-mère de 93 ans doit-il être le même que celui du compte rendu opératoire de la tumeur cérébrale de mon oncle de 52 ans ? Cette interrogation relève-t-elle du domaine éthique, philosophique juridique ? Le sujet est important car, à ce jour, rien ne les différencie. Les données de santé à caractère personnel des Français sont classées ultrasensibles, sans aucune hiérarchie. Ainsi, un Ehpad est soumis à la même réglementation qu’un centre hospitalo-universitaire, dont principalement le règlement général sur la protection des données (dit RGPD), qui oblige le responsable de traitement, c’est-à-dire le directeur ou la directrice, à mettre en œuvre toutes les mesures de sécurité requises adaptées à la sensibilité du traitement.

Vers une politique publique de la donnée, des algorithmes et des codes sources

Le 23 décembre, Éric Bothorel, député des Côtes-d’Armor, a remis au Premier ministre son rapport sur la politique publique de la donnée, des algorithmes et des codes sources.

Confiance numérique : comment le MiPih assure la gestion et la sécurité des données sensibles

Premier acteur public du numérique en santé, MiPih est le leader en informatique hospitalière. Fort de la confiance numérique instaurée avec ses 625 adhérents, MiPih met à disposition des décideurs publics et de l'ensemble des acteurs de santé, une offre de dématérialisation, de signature électronique, d'archivage électronique et de coffre-fort numérique, avec un accompagnement sur mesure.

ZenReco, le moteur de reconnaissance vocale 100 % français de Zenidoc à l’écoute de vos besoins

Fort de ses 15 années d’expérience dans le domaine de la dictée numérique et de la reconnaissance vocale, Zenidoc franchit un cap en annonçant son propre moteur de reconnaissance vocale 100 % français, ZenReco, développé en collaboration avec le Laboratoire informatique d’Avignon.

Protection des données de santé : le Conseil d’État annule un décret sur les DIM

Dans une décision rendue le 25 novembre, le Conseil d’État annule le décret du 26 décembre 2018 relatif aux départements d’information médicale pour absence de mesures de protection techniques et organisationnelles des données identifiantes des patients.

Protection des données de santé : un livre blanc pour clarifier leur cadre juridique et leurs enjeux

L’attention portée à l’utilisation des données de santé à caractère personnel n’est pas nouvelle en France. La loi du 4 mars 2002, relative aux droits des malades et à la qualité du système de santé, posait déjà un principe fort de protection de ces données. Près de 20 ans après, et malgré l’entrée en application récente du règlement général sur la protection des données de santé, les atteintes à la règle restent légion. Un constat qui a conduit à la publication d’un livre blanc par Doshas Consulting, cabinet de conseil indépendant spécialisé dans la transformation numérique de la santé.

La digitalisation du parcours patient en webinaire sur dsih.fr

En préambule du webinaire qui se tiendra le 19 novembre de 10 h 30 à 11 h 30 sur www.dsih.fr., Aïssa Khelifa, animateur expert pour DSIH, esquissera le tableau de la digitalisation du parcours patient autour de cinq axes : les enjeux techniques, fonctionnels, organisationnels, juridiques et économiques. Autant de questions qui intéressent directement les acteurs hospitaliers, qu’ils soient administratifs, techniques ou soignants, et que nous pourrons aborder le 19 novembre prochain dans le cadre des webinaires des Jeudis du numérique, organisés par DSIH.

Effacer ses données : les briser menu ou jeter la clé ?

Il y a quelque temps, un de mes disques durs perso tombe en rade : le truc bête, le bruit de la tête du peigne de lecture qui couine dans le boîtier, deux ou trois redémarrages à la sauvage, rien n’y fait, le Mac ne reconnaît plus le disque. Bref, au bout de cinq minutes je savais à quoi m’en tenir : HS et plus rien à en tirer. Bon, ce n’était jamais que mon disque de sauvegarde, celui où je stocke toutes les versions de Blanche-Neige et l’intégrale de Fritz Lang (dans le domaine public, n’allez pas vous imaginer que je télécharge sur des sites illégaux !), mais il fallait tout de même en changer. 150 euros les 3 To à la Fédération nationale d’achat des cadres, mieux que de passer du temps à tenter une réparation hasardeuse, Avant de mettre le disque à la poubelle, dans l’éventualité où un malfaisant viendrait me chiper mes fichiers, ni une ni deux, je décide de procéder à un effacement définitif des données. Et c’est là que les choses se compliquent singulièrement.

Au secours, je ne sais pas quoi faire de mon DPO !

Je suis tombé à plusieurs reprises sur des discussions ou des remarques qui laissent à penser que certains décideurs – responsables métiers, directions générales, etc. – à qui le RGPD a mis un DPO dans les mains ne savent pas trop quoi faire de ce dernier. Des formations aux directions MOA internes ? Un recensement exhaustif des fichiers Excel qui se baladent sur les postes de travail ? De la paperasse avec la Cnil ? Rien de tout cela en fait : les attributions du DPO sont tout autres ; il est utile à beaucoup mieux.

Serious games et cybersécurité : s’entraîner pour apprendre à parer les risques

La multiplication des cyberattaques contre les établissements de santé souligne le retard de ces derniers en matière de sécurité des systèmes d’information. Les campagnes de sensibilisation portées notamment par l’État et l’Anssi sont utiles, mais se déploient trop lentement, semble-t-il. L’acculturation au cyberrisque doit aussi se confronter à des mises en situation. C’est l’ambition du serious game Medirisk, développé par Doshas Consulting et lancé en septembre 2020.

En direct de l’Apssis 2020

Le groupement hospitalier de territoire du Centre Bretagne fait appel à LockSelf pour sécuriser les échanges de fichiers avec ses parties prenantes

Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.

Faut-il chiffrer les données de son DPI ? Volet 3 (fin)

Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique. Dans le deuxième volet, nous avons abordé les conséquences de la première loi selon laquelle le chiffrement ne protège que des attaques sur les couches inférieures, et surtout les conséquences de cette loi concernant le chiffrement des données contre les accès des informaticiens.

Stop Covid : une appli en quête de sauvetage

Dans un avis rendu le 15 septembre dernier, le comité de contrôle et de liaison Covid-19 (CCL-Covid) a comparé la France à l’Allemagne, s’agissant du nombre de téléchargements d’une application de traçage numérique et le résultat est édifiant : « En Allemagne, une application de traçage numérique, bien que partiellement dépendante d’Apple ou de Google, a été téléchargée 18 millions de fois ». 

Zerologon : est-il vraiment urgent de patcher ses contrôleurs AD ?

Si vous étiez en congés, ou tout simplement déconnecté, la semaine dernière, le CERT-FR de l’ANSSI a publié deux alertes en lien avec la vulnérabilité CVE-2020-1472, également baptisée « Zerologon » [1]. Si vous êtes attentif aux vulnérabilités critiques corrigées dans le fameux « patch tuesday » de Microsoft, vous vous rappelez certainement de cette vulnérabilité affectant l’implémentation du protocole d’authentification Netlogon Remote Protocol (MS-NRPC) dans les contrôleur de domaine Windows, corrigée au mois d’août [2].

WELIOM et ALL4TEC partenaires pour la gestion des risques des structures de santé

Fort de la labélisation par l’Anssi de sa solution ARM (Agile Risk Manager), outillant la méthode Ebios Risk Manager portée par l’Agence, ALL4TEC signe un partenariat stratégique avec WELIOM, l’un des leaders de la transformation des organisations de santé. L’alliance de l’ingénierie logicielle, conduite par ALL4TEC, et de la maîtrise des métiers et des référentiels des établissements sanitaires et médico-sociaux permettra, dès 2020, la construction d’une proposition de valeur inédite et parfaitement adaptée à l’écosystème de santé.  

Un cadre d’interopérabilité bientôt opposable

Il a fallu plusieurs années avant de pouvoir changer d’opérateur téléphonique sans perdre son numéro d’appel. Une (r)évolution est en marche pour les industriels de l’e-santé. Dans quelques semaines doit être publié le décret rendant opposable le cadre d’interopérabilité des systèmes d’information de santé (CI-SIS) défini par l’Agence du numérique en santé (ANS). À la clef, partage de données et portabilité.

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !

La Cnil publie trois nouveaux référentiels sur la conservation des données de santé

Trois nouveaux référentiels sur la conservation des données de santé ont été mis en ligne sur le site de la Commission nationale de l’informatique et des libertés (Cnil) le 28 juillet dernier. Leur objectif est d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux ainsi que dans le choix de la durée de conservation des données.  

La nécessaire culture du risque

L’affaire du Covid n’est pas encore terminée – nous sommes à la veille de la rentrée scolaire, et tout le monde se demande bien comment le mois de septembre va tourner, en bien ou en mal –, mais il y a au moins un élément indiscutable : il est possible d’analyser la situation sanitaire exceptionnelle selon différents angles, qui ne sont d’ailleurs pas forcément incompatibles.

Été 2020, une rentrée à fond à fond à fond

Ça y est, l’été est fini et bien fini, il est temps de remettre les mocassins, les costumes et les cravates pour reprendre le cours « normal » de nos activités.

Mise en conformité avec le RGPD : un « kit » est lancé par l’Anap

L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) vient de publier un kit à destination de l’ensemble des structures sanitaires et médico-sociales, rassemblant les ressources utiles pour leur permettre une mise en conformité avec le règlement général sur la protection des données (RGPD). 

Faille Doctolib – quelle réflexion sur les méta données ?

Mardi 21 juillet dernier, Doctolib annonçait officiellement qu’environ 6000 rendez-vous médicaux avaient fuité, victime d’un siphonnage faisant suite à un acte malveillant. Doctolib parle de fuite de « données administratives », affirmant qu’aucune donnée médicale n’est concernée.

Invalidation du Privacy Shield – ça va piquer un peu

Certains admirent les acteurs de cinéma célèbres, les pilotes de chasse, les baroudeurs ou les artistes rock. OK, OK, je respecte, chacun son truc. Moi, ce que j’adore, ce sont les teignes. Le genre qui fiche le bazar partout où il passe, le style de Détritus dans La Zizanie(je vous conseille de lire ou de relire les premières pages, c’est énorme) ou de Jacques Brel dans L’Emmerdeur.

Numérisation des établissements et services médico-sociaux : un chantier qui s’annonce complexe

Les établissements et services médico-sociaux se lancent dans la numérisation du parcours des résidents. Une transition loin d’être évidente si l’on se réfère aux difficultés rencontrées par les Ehpad durant la crise du Covid-19 pour adopter ces nouveaux outils. Comment le numérique peut-il prendre sa juste place dans les ESMS ? Catherine Philippe, directrice d’ESMS depuis plus de 15 ans, manager de transition et ambassadrice à l’Anap depuis 2014, nous livre son analyse sur cette évolution, son contexte et les conditions de sa réussite.

CVE-2020-5902 ou comment s’immiscer au cœur du SI via une brèche dans les solutions F5 BIG-IP

Téléconsultation : êtes-vous conformes ?

La crise du Sars-Cov-2 a vu fleurir les propositions de solutions de téléconsultation, pour les médecins de ville et hospitaliers. De nombreux éditeurs, afin d’aider les établissements de santé à assurer le suivi des patients Covid et non Covid, ont offert la gratuité d’utilisation de leurs services le temps de l’épidémie. Mais ces intégrations à la hâte ont-elles été faites dans les règles de l’art ? Contractualisation, respect du RGPD, audit de sécurité…, Didier Ambroise, associé fondateur du cabinet Doshas Consulting, spécialiste de la transformation numérique des acteurs de la santé, fait le point alors que se profile la fin de l’état d’urgence sanitaire.

Comment Enovacom a automatisé l’usage des biobanques de l’IHU Méditerranée Infection ?

L’IHU Méditerranée Infection est le seul institut français en microbiologie dédié aux maladies infectieuses et tropicales, qui sont chaque année, responsables d’un tiers de la mortalité.Afin d’étudier des maladies infectieuses, l’IHU reçoit des échantillons bactériologiques qu’il doit conserver et stocker dans des biobanques réfrigérées.

Crise sanitaire : la cybersécurité dans les cordes !

Le 16 mars 2020, l’état d’urgence sanitaire déclenchait dans les établissements de santé plusieurs processus de déploiement massif de solutions numériques. Télétravail, télémédecine, téléconférences, partage d’informations, médicales ou non, création de « structures fonctionnelles Covid » et usages de nouveaux modules de progiciels existants sont autant de projets qui ont mobilisé les DSI, sous la pression légitime des métiers. Certaines de ces réalisations ont été accompagnées d’un volet sécurité, essentiel surtout dans l’urgence, et supportées par des éditeurs consciencieux. D’autres non…

WELIOM renforce ses compétences avec l’intégration du Cabinet Vincent Trély Consultants

Issu de la fusion d’Odsis et de Cosilog, puis de l’intégration de Beeconsulting (1), WELIOM renforce ses compétences en cybersécurité, conformité et stratégies numériques avec l’acquisition du Cabinet Vincent Trély Consultants. C’est un joli nom de l’écosystème du numérique en santé qui rejoint le projet porté par Pierre-Yves André, PDG de WELIOM, dont l’ambition est de faire de la société, en 2022, le leader français du conseil en transformation numérique des organisations de santé.