Vous êtes dans : Accueil > RGPD >
Le moins que l’on puisse dire, c’est que les américains ne plaisantent pas lorsqu’il s’agit de données de santé. Un employé d’un établissement de santé publique destiné aux anciens combattants à Long Beach en Californie a été condamné le 4 juin dernier à trois ans de prison pour plusieurs de ses méfaits, dont le vol de données patient et plusieurs usurpations d’identités selon le Daily Breeze [1].
Avec l’entrée en application du règlement général sur la protection des données le 25 mai 2018, une nouvelle ère s’ouvre pour les responsables de traitement des données de santé. À charge pour eux de veiller à être en conformité avec ce nouveau règlement. ITrust, société d’expertise en cybersécurité, et le cabinet Harlay Avocats s’allient pour proposer aux établissements une solution clé en main.
Préserver une copie des données des systèmes d’information dans un cadre sécurisé est une priorité pour les établissements de santé ; les restaurer avec le même souci de protection de leur intégrité est tout aussi important. La société Kiwi Backup a développé une solution simple, conforme à la législation et peu onéreuse.
J’adore ceux qui font des promesses qu’ils savent ne jamais avoir à ternir. Genre « si je gagne au Loto, j’en donne la moitié aux amis et à la famille ». Probabilité : 1 chance sur 14 millions, y’a pas grand risque.
À deux jours de l’entrée en vigueur du RGPD programmée depuis deux ans, on peut s’interroger sur la position des États-Unis qui ont promulgué contre tout attente le 23 mars dernier, soit deux mois avant l’entrée en vigueur du règlement européen une loi qui pourrait bien le « remettre en question ». Sacré pied de nez, non ?
Dans le cadre des Groupements Hospitaliers de Territoire, la fluidité des échanges de données de santé recherchée se heurte parfois à une hétérogénéité des systèmes d’informations. Des solutions proposées par Microsoft peuvent contribuer à atteindre cet objectif, en pleine adéquation avec la réglementation sur les données de santé.
Pour faciliter la mise en œuvre des groupements hospitaliers de territoire, Medasys s’attelle à proposer des solutions adaptées, développées en propre ou par des tiers, qui optimisent les processus métiers et la coordination des soins sur le territoire à moindre coût. Au-delà de l’aspect technique, un accompagnement sur mesure est également procuré pour soutenir les établissements de santé dans la convergence de leur système d’information.
Certaines entreprises informatiques feraient mieux de faire de l’informatique et d’arrêter de vouloir faire du juridique, surtout quand le boulot est aussi mal torché. Parmi celles-ci, l’une, dont je tairai le nom (elle a inventé le PC dans les années 1980 et ses cadres portent tous des chemises de couleur bleue, n’insistez, pas je ne donnerai aucun nom), s’est piquée d’envoyer un mail concernant l’avenant RGPD, qu’il faut absolument que je vous fasse suivre. Voyez plutôt (les caractères en gras sont de moi).
Le règlement général européen sur la protection des données personnelles (RGPD), applicable dès le 25 mai, sera le nouveau garant du respect de la vie privée, notamment en ce qui concerne les données de santé.
Un DSI de mes amis m’avait signalé une bizarrerie concernant le RGPD ; je ne l’ai pas cru : il a fini par remettre la main sur le texte et me l’a envoyé.
L’intégration des systèmes d’intelligence artificielle dans les SI va avoir un impact sur le diagnostic, les thérapies, la gestion des données et l’ensemble des métiers de la santé. Ce thème sera au cœur du Salon HIT 2018, notamment à travers une série de prises de parole sur l’agora IT ainsi qu’au cours du HIT Summit.
Il reste à peine un mois avant l’entrée en vigueur du RGPD, et certains se demandent comment utiliser au mieux les courtes semaines qu’il leur reste : quelques conseils de bon sens.
Événement unique en Europe, la Paris Healthcare Week est le rendez-vous de tous les professionnels de la santé et du médico-social organisé par PG Promotion.
Kiwi Backup, entreprise spécialisée dans la sauvegarde de données externalisée, dévoile dans sa nouvelle infographie de nombreux conseils concernant le RGPD notamment sur son impact sur les sous-traitants.
Temps fort du congrès comme chaque année, M° Brac de la Perrière et M° Yahia nous éclairent sur l’état d’avancement de construction des GHT sur différents aspects
Ceux qui n’avaient pas d’avis sur la nécessité – ou non – d’un établissement support de GHT à disposer de la certification HDS dans le cadre de la convergence du DPI de GHT et qui ont assisté à cette présentation de l’ASINHPA sont soit morts d’apoplexie, soit se sont enfuis ventre à terre devant la complexité du schmurtz.
Enovacom vous donne rendez-vous pour une conférence le 3 avril à 17 h 30 au congrès de l’APSSIS où seront abordés les enjeux issus des dernières réglementations : RGPD, chiffrements, certifications…
Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit, en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD. Dans un second volet(2), nous avons développé plus particulièrement les audits de la protection périmétrique, avant de fournir(3) une liste, pour réflexion, d’indicateurs à mettre en place.
Les incidents liés à la sécurité des systèmes d’information se multiplient de plus en plus dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Selon le dernier rapport Norton sur la cybercriminalité, plus de 19 millions de personnes (42% de internautes) ont été victimes d’actes de piratage en France en 2017. Le cout total de cette cyber criminalité s’élève à 6,1 milliards d’euros en 2017, soit trois fois plus qu’en 2016.
J-14 avant le lancement du 6e Congrès national de la sécurité des SI de santé, qui se déroulera au Mans les 3, 4 et 5 avril 2018. « Le RGPD par ceux qui ont les mains dedans, pour ceux qui y sont jusqu’au cou » est la conférence inédite préparée spécialement pour l’événement par Cédric Cartau, RSSI et DPO du CHU de Nantes. De quoi parle-t-elle ?
Vous travaillez dans l’e-santé mais vous n’en maitrisez pas encore tous les enjeux, vous êtes étudiant ou consultant, professionnel de santé ou animateur d’une association d’usagers, nouveau venu dans l’équipe d’une direction de système d’information ou formateur dans le sanitaire et médico-social… Le Mooc (Massive Open Online Course, ou cours en ligne ouvert et massif) s'adresse à tous les acteurs qui participent ou souhaitent participer à la transformation du système de santé et au déploiement de la e-santé.
Étape dans le renforcement de la protection des données qualifiée de majeure par la Cnil, le règlement général sur la protection des données, d’essence européenne avec des périmètres adaptés à chaque pays, entre en vigueur le 25 mai prochain. Faut-il n’y voir que des contraintes ?
Les données de santé à caractère personnel vont bénéficier d’un nouveau cadre de protection avec le règlement général sur la protection des données, le RGPD, qui entre en vigueur le 25 mai 2018 et les nouvelles procédures de certification des hébergeurs de données de santé, applicables au plus tard le 1er janvier 2019. Deux éléments qui doivent contribuer à bâtir un écosystème de confiance autour de la santé numérique. Sont-ils pour autant compatibles ?
Relaté par Ticsanté(1), l’Asip Santé publie un état des lieux sur l’avancement de la convergence au sein des GHT.
Alors que nous sommes passés sous la barre des 90 jours avant l’entrée en application du RGPD [1], le fameux Règlement général européen sur la protection des données à caractère personnel, également connu sous l’acronyme anglais GDPR (general data protection regulation), pour lequel, de nombreux « vendeurs à la sauvette » proposent, grigris, amulettes ou encore élixirs permettant une miraculeuse mise en conformité immédiate avec le fameux règlement.
Depuis 2012, l’APSSIS élabore et propose une formation innovante (l’actuelle formation RSSI /SSI Expert santé Version 2), spécialement adaptée aux secteurs de la Santé, et basée sur les guides et référentiels officiels. Plus de 800 professionnels de santé ont ainsi été formés à la sécurité des SI.
Dix plateformes de prise de rendez-vous médicaux en ligne ont signé, le 15 février, une charte e-RDV rédigée par l’URPS médecins libéraux d’Île-de-France(1). Cette initiative fait suite à l’audit réalisé il y a un an par la commission Nouvelles Technologies de l’URPS.
Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour s’acheminer vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès.
La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.
Dans un article récent(1), le Dr Laurent Alexandre s’interroge sur le frein que peuvent représenter les réglementations européennes dans la course mondiale de l’économie des data. Ce n’est pas la première fois qu’il développe ce thème, puisqu’on le trouve déjà dans son ouvrage La Mort de la mort(2) concernant la génétique.
Il n’y a pas que les fleuves et les rivières qui débordent en ces temps diluviens. Nos espaces disques aussi peinent à contenir la pluie ininterrompue des données numériques.
Ce qui frappe quand on étudie l’histoire des idées dans une discipline telle que les mathématiques, c’est ce qui s’est passé tout au début du xxe siècle. Pendant plus de deux millénaires, les matheux ont étudié des objets (la géométrie, les nombres, les équations) en essayant d’en dégager des lois, des théorèmes ou des propriétés. Au xxe siècle, une frange des mathématiciens (les logiciens) s’est mise à étudier comme objet… les mathématiques elles-mêmes, et a prouvé des théorèmes étonnants, comme les champs qu’il serait à jamais impossible d’investiguer(1).
Le 6e Congrès national de la sécurité des SI de santé se déroulera au Mans les 3, 4 et 5 avril 2018 et réunira 150 professionnels de la SSI Santé pour un marathon de 24 heures de conférences et de tables rondes ainsi que 12 heures de networking. Il est « organisé » avec les objectifs habituels assignés à l’événement : densité, qualité et liberté de ton. Le congrès est complet, et l’association a fermé les inscriptions le 10 janvier, signe de l’intérêt suscité par le sujet et du succès croissant de l’événement.
Succédant à la sensibilisation(1) et au RGPD(2), le troisième thème abordé lors de ce colloque SSI co-organisé par la DGOS, la DSSIS, le service du HFDS et l’ASIP Santé, fut la mise en œuvre des démarches nationales de prévention des incidents SSI.
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Après la sensibilisation à la SSI évoquée dans une première partie(1), le second thème abordé lors de ce congrès fut le RGPD (2), qui entrera en application le 25 mai 2018 et pour lequel la mobilisation de chacun s’amplifie de jour en jour.
Le RGPD est partout. En véritable star, il a sa page Wikipédia et son compte Twitter. Applicable à compter du 25 mai 2018 dans les 28 pays de l’Union européenne, il alimente les discussions et fait couler beaucoup d’encre. Il a ses fervents défenseurs et ses détracteurs. DPO, Privacy by Design, sanctions… ses obligations et son cadre strict inquiètent souvent les structures. Les études semblent démontrer que peu d’entre elles seront prêtes en mai 2018. Pourtant, des mesures existent. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.
Le règlement général sur la protection des données[(1) (RGPD), entré en vigueur le 27 avril 2016, sera applicable le 25 mai 2018.
Le 29 novembre dernier s’est tenu au Ministère de la santé le traditionnel colloque SSI, organisé par la DGOS et avec une forte implication de Frédérique Pothier, qui « commet » encore un sans faute dans l’organisation. Ceux qui ont assisté à cette édition ainsi qu’aux précédentes savent que le temps fort est à chaque fois la séquence « Cela n’arrive pas qu’aux autres », avec des récits tantôt désopilants tantôt effrayants d’incidents IT en tout genre.
Le Règlement européen sur la protection des données personnelles est indiscutablement l’enjeu de conformité de l’année 2018 : la certification AFAQ Protection des données personnelles sera un outil pour pérenniser cette conformité.
On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).
Si je vous dis que les établissements de santé vont bientôt ouvrir leur dossier patient informatisé (DPI) à leurs usagers (les patients), vous me répondrez que si c’est pour écrire des trucs que l’on sait déjà, autant rester couché. Si je vous dis, en sus, que la dimension GHT va rendre le projet « factorisable », c’est-à-dire que la masse critique de la nouvelle méta-organisation va faire que la brique à déployer sera économiquement plus facile à financer, gérer, etc., vous êtes forcément d’accord. Mais si on commence à parler des contraintes projet mêlées aux contraintes normatives, là, c’est tout de suite plus sportif.
Convaincue que les professionnels de santé doivent poursuivre un processus dynamique d’acculturation aux technologies numériques en constante évolution, l’équipe de DSIH lance son activité de formation avec d’ores et déjà deux modules proposés : « Stratégie des SI de Santé » et « ISO/IEC 27001 Lead Implementer ».
Le Congrès national de la sécurité des SI de santé (#CNSSIS2018) se tiendra les 3, 4 et 5 avril 2018 au Mans. L’un des fils conducteurs de cette 6e édition : la cyberinsécurité. Focus sur la conférence « APT : étapes d’une attaque et contre-mesures opérationnelles en environnement médical » délivrée par Gérard Peliks, président de CyberEdu et directeur adjoint du MBA Management de la sécurité des données numériques de l’Institut Léonard-de-Vinci.
Le sujet s’étire en longueur, mais à force de creuser on se rend compte que certains aspects sont plus compliqués que prévu.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.
Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.
Les plus lus