Cnil302 documents taggés

Sécurité des SI : penser GHT, partie I

Pas une semaine ne se passe sans qu’on lise, dans la presse spécialisée, des articles à qui mieux mieux sur les difficultés de mise en œuvre des GHT, laquelle va être compliquée, voire impossible sans fusion, etc.

Du rififi autour de l’INDS

Récemment sur les réseaux santé[1], on a vu tomber cette annonce a priori anodine : les quatre fédérations hospitalières refusent d’intégrer l’Institut national des données de santé (INDS). Anodine, car de prime abord on finit la lecture de l’article en se disant : oui, bon, et alors ?  

RGPD : première analyse des experts d’Itrust

Impacts sur l’environnement technique, humain et organisationnel gravitant autour des données de santé à caractère personnel, rôle et responsabilités du Data Protection Officer (DPO), adaptation de l’offre industrielle sont quelques-uns des thèmes introduits par le règlement général sur la protection des données (RGPD). Benjamin Benifei, juriste-conseil, et Yasmina Janati, responsable Gouvernance SSI et consultante chez Itrust, décryptent leurs conséquences sur les établissements de santé.

Le NIR ou 39 ans de réflexion

Excellent article[1] de Pierre Desmarais sur son blog concernant la légalisation de l’utilisation du NIR (numéro Insee) dans le monde de la santé.  

La « correspondance privée », selon la CNIL

Dans un monde idéal, les échanges d’e-mails ne donnent pas lieu à une exploitation informatique de leur contenu, et encore moins à l’insu de leur auteur.

Le NIR est officiellement le nouvel identifiant national de santé !

Cela faisait longtemps que l’on entendait parler, 35 ans vous diront ceux qui étaient là bien avant moi !

Le SOC sous pression

Un SOC (Security Operations Center) permet d’analyser et de monitorer en temps réel l’activité des SI d’une structure avec l’objectif de détecter les vulnérabilités et les menaces, mais aussi d’identifier et d’analyser les intrusions et leur impact afin de mettre en place la réponse adaptée. Encore faut-il être sûr de la fiabilité et de la robustesse de son SOC ! Forte de son expertise en sécurité informatique, la société ITrust propose une offre innovante : le Stress Test SOC. Objectif : mettre sous pression votre SOC ! Entretien avec Marion Godefroy, Marketing and Communication Manager.

Données de santé : quand la réalité vire au cauchemar

Le monde merveilleux de l’IT

Il y a des semaines comme cela où l’on respire un peu : mis à part les habituelles failles et autres attaques, pas beaucoup de news à se mettre sous la dent de souris. Alors on regarde un peu autour, et on tombe sur des trucs qui interrogent tout de même un peu.

Le CH Eure-Seine : établissement support de GHT et premier Centre Hospitalier « général » agréé hébergeur de données de santé

Le Centre Hospitalier Intercommunal Eure-Seine est le premier Centre Hospitalier « général » à avoir mis en œuvre les moyens nécessaires à l’obtention de l’agrément « Hébergeur de données de santé à caractère personnel » délivré par le Ministère des Affaires Sociales, après un processus d’étude par l’ASIP Santé et par la CNIL. Ses datacenters d’Evreux et de Vernon, ses architectures techniques modernes, la pluralité de ses équipes ainsi que le respect d’une politique de sécurité musclée en font un acteur de santé publique clé pour la région Normandie. Il offre une solution d’hébergement d’applications critiques, avant tout pour les établissements membres de son G.H.T., mais aussi potentiellement pour les membres du GCS Télésanté normand, et consolide l’établissement sur la maîtrise de ses données à long terme.

Ça ne rigole pas à la CNIL… anglaise

Le magazine Zataz a récemment rendu compte[1] d’une fuite de données au sein de l’hôpital public de Londres. La CNIL anglaise (ICO) vient en effet d’infliger une amende de 200 000 livres sterling à une société informatique indienne (HCA) qui envoyait des comptes rendus médicaux dictés sous un format non chiffré, directement sur Internet.    

Clarification jurisprudentielle de la nature de l’adresse IP : une donnée nécessairement à caractère personnel

Selon l’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».  

CNIL et SNDS

Dans son avis[1] sur le système national de données de santé publié le 28 décembre dernier, la CNIL émet un certain nombre de remarques vis-à-vis du dispositif.  

Colloque SSI Santé 2016 : encore un succès !

Co-organisé par la DSSIS (délégation à la stratégie des systèmes d’informations de santé), le service du HFDS (haut fonctionnaire de sécurité), la DGOS (direction générale de l’offre de soins) et l’ASIP Santé, orchestré par Philippe BURNEL (DSSIS), le deuxième colloque de la sécurité des systèmes d’information de santé, s’est déroulé mercredi 14 décembre au Ministère des affaires sociales et de la santé.

Les français ont-ils conscience de la valeur de leurs données de santé ?

Le niveau de conscience en matière de sensibilité des données est assez représentatif du niveau de maturité des différents secteurs en termes de protection des données.

Faut-il interdire Dropbox à l’hôpital ?

Applis santé : la HAS établit 101 règles de bonne pratique

Près de 50 000 applications santé sont actuellement disponibles et de nouvelles apparaissent chaque jour. Certaines proposent des conseils individualisés, recueillent des données personnelles (poids, tension, fréquence cardiaque,…), ou délivrent des informations médicales. Leur développement se fait toutefois sans cadre prédéfini, ce qui soulève de nombreuses questions concernant leur fiabilité, la réutilisation des données collectées ou le respect de la confidentialité notamment. C’est pourquoi la HAS publie aujourd’hui un référentiel de 101 bonnes pratiques pour favoriser le développement d’applications et objets connectés sûrs, fiables et de qualité.

Santé mobile : où en est-on ? 2. Les ARS se lancent

Les obstacles au développement des usages en santé mobile tombent petit à petit. Tous les acteurs de l’écosystème s’y mettent, des mutuelles à la Haute Autorité de santé en passant par les établissements… et les Agences régionales de santé. Retour sur les initiatives les plus marquantes de ces derniers mois.

Dossier pharmaceutique : l'absence du recueil de consentement pointé du doigt

Accéder aux données de santé en France est un parcours long, complexe et inégalitaire

La loi du 26 janvier 2016 portant réforme de notre système de santé, affiche une volonté d’ouverture des données de santé, mais peine à convaincre sur l’ambition que doit se donner la France en la matière. Le Healthcare Data Institute alerte sur la complexité du dispositif mis en place et formule des propositions pour la lever.

Migration vers Windows 10 : faut-il encore attendre ?

Depuis sa sortie il y a un peu plus d’un an maintenant, Microsoft force lourdement la main aux particuliers comme aux professionnels pour migrer vers son ultime système d’exploitation. Windows 7 reste dans nos établissements l’OS [1] client dominant, accompagné d’une poignée de Windows XP réticents au départ en retraite.

Détournement juridique du décret d’hébergement de données de santé. Conclusion : un autre regard

La série d’articles de Cédric Cartau a bien mis en évidence la fragilité conceptuelle du modèle actuel de l’hébergement de données de santé. Puisqu’il est en cours de refonte, il me semble intéressant de creuser un peu plus sur les origines de cette faiblesse afin de s’assurer qu’elle ne sera pas reconduite.

Détournement juridique du décret d’hébergement de données de santé – partie 2

Dans un précédent article[1], je faisais part d’un cas étrange de ce qui pourrait être considéré par certains comme un détournement de l’esprit du décret. Pas mal de remarques et de commentaires de lecteurs à cet article allaient de « ah oui ! on voit bien la limite du décret » à « il s’agit clairement d’un détournement des textes puni par la loi ». Je tiens cependant à préciser qu’à ma connaissance aucun des commentateurs n’est juriste.  

Assurance informatique : sommes-nous bien protégés ?

Lorsque l’on aborde le sujet de l’assurance IT [1] avec la DG [2], le discours est souvent le même : « Nous avons souscrit une assurance tous risques informatiques, nous sommes donc couverts pour tout. » Mais nous avons souvent tendance à confondre « assurance informatique » et « cyberassurance ». Les polices d’assurance dites « classiques », même appelées « tous risques informatiques » ne couvrent pas tous les sinistres, loin de là !

Évolution des conditions d’accès, d’échange et de partage des données de santé. Pour quand les choix techniques ?

Santé : Où trouver le meilleur établissement pour se faire soigner ?

En amont d’un séjour hospitalier, il est légitime de se demander : « Dans quel hôpital pourrais-je bénéficier des meilleurs soins ? ». Les patients se retrouvent parfois désarmés au moment de choisir leur établissement de soins.

MFC : L’ennemi de la confidentialité

Les copieurs multifonctions ou MFC (pour Multiple Function Copiers en anglais) sont présents dans nos établissements depuis de nombreuses années.

Sécurité des SI de santé : état normatif ou la fin annoncée du bricolage

La T2A a sans conteste été une révolution dans le monde de la santé : faut-il rappeler qu’avant sa mise en place et sa généralisation sur le territoire, le mode de financement des établissements consistait peu ou prou à prendre les budgets des années précédentes et à les reporter sur l’année d’après avec une augmentation de quelques pourcents.

SI de santé : l’APSSIS propose trois jours de formation pour un 360° de la cybersécurité. Dinard, les 12, 13 et 14 septembre 2016

L’APSSIS clôture son cycle de formation sur la sécurité des systèmes d’information de santé en proposant une session spéciale à Dinard, coorganisée avec DSIH Magazine. Ces trois jours s’adressent aux professionnels désireux de comprendre la problématique sécurité, son environnement réglementaire et juridique, les modalités de mise en œuvre opérationnelle de la SSI au cœur d’un établissement public ou privé ainsi que la pédagogie à déployer pour en faire un projet transversal compris et accepté. La future gouvernance de la SSI au sein des GHT sera l’un des sujets récurrents des trois jours.

Helpdesk : la sécurité vous y avez pensé ?

Les outils « Helpdesk », également appelés « outils d’assistance utilisateur », de « support hotline » ou encore de « ticketing » sont aujourd’hui incontournables pour de nombreuses DSI [1].

Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?

Pas si courant mais tout de même, surtout dans le contexte d’une judiciarisation croissante de la santé, les établissements de soins sont de plus en plus confrontés à des demandes, provenant des patients bien entendu, non seulement d’accès aux données médicales, mais surtout d’accès aux traces de connexion à ces mêmes données.

Medimail et Office 365, une offre dédiée à la messagerie sécurisée de santé

Créée en 2008, Medimail est une solution de messagerie sécurisée de santé compatible MSSanté qui a vu le jour grâce à l’impulsion de l’URPS Midi-Pyrénées et du Centre hospitalier intercommunal de Castres-Mazamet. Huit ans plus tard, cette solution se hisse au rang de première messagerie MSSanté de France avec plus de 7 000 comptes MSSanté, 150 établissements déclarés et 100 000 envois effectués tous les mois, dont 40 000 qui transitent par l’espace de confiance MSSanté.

En direct du Congrès de l’Apssis – Les avocats ne goûtent pas la loi de santé 2016

Au cours de la séquence juridique, organisée lors du Congrès national de la sécurité des systèmes d’information de santé, le regard expert des avocats Me Pierre Desmarais et Me Omar Yahia a porté sur les aspects importants de la loi de santé 2016, pour le secteur SI.

La SFIL et la FEIMA expriment leurs inquiétudes concernant le décret n°2016-46 du 26 janvier 2016 relatif à la biologie médicale

Conscients des enjeux attachés à l’évolution de la biologie médicale en France et notamment dans les échanges entre professionnels de santé, la Société Française d’Informatique de Laboratoire (SFIL), qui regroupe des biologistes, des laboratoires de biologie médicale et des industriels, et la Fédération des Editeurs d’Informatique Médicale et Paramédicale Ambulatoire (FEIMA), qui regroupe les principaux éditeurs de logiciels du secteur médical et paramédical ambulatoire, ont toujours été des acteurs mobilisés pour accompagner les modifications réglementaires.

Alsace e-santé au congrès national de la SSI, le mardi 5 avril 2016

Alsace e-santé présentera sa démarche régionale de sécurité des systèmes d’information de santé appelée Capssis, lors du Congrès national de la sécurité des systèmes d’information (SSI), le mardi 5 avril 2016, au Mans.

L’institut Curie lance son portail sécurisé et personnalisé pour chaque patient

L’acteur hospitalier de référence de la lutte contre le cancer innove avec une première application mobile totalement personnalisée et sécurisée pour accompagner chaque patient dans son parcours de soin.

Gestion des identités : le schéma directeur d’un GHT ne peut pas se passer d’un méta-annuaire

Le correspondant informatique et libertés bientôt quasiment obligatoire

L'AFCDP demande une clause « DU GRAND PÉRE »                                                                                                                        

Belzébuth a-t-il un diplôme en informatique ?

La grande affaire de la semaine est sans conteste celle de Volkswagen, qui vient d’avouer avoir triché dans les tests anti-pollution lui permettant de vendre ses véhicules sur le marché américain.

e-santé : les efforts du régulateur

Pas facile de représenter les pouvoirs publics, le contrôle, la régulation, lors d’une conférence consacrée à la transformation numérique ! Yannick Le Guen, sous-directeur à la DGOS (1), et Olivier Desbiey, de la Cnil, avaient donc accepté le tenir « le mauvais rôle », celui des « empêcheurs de transformer » dans une assemblée réunie (2) pour dresser un état des lieux de la e-santé en France et de ses conditions de succès.

Retour sur l'actualité du premier semestre

Finalement l'année a été riche dans sa première partie. Petit travelling arrière.

La santé connectée dans le radar de la Cnil

Les objets connectés « bien-être et santé » sont au premier rang des contrôles prévus par la Cnil cette année. La Commission nationale informatique et libertés a annoncé fin mai qu’elle donnait un coup d’accélérateur à ses procédures de contrôle puisqu’elle en prévoit environ 550 pour l’année, contre 421 l’an passé.

INS, pourquoi l'histoire n'est pas jouée

Revenons un peu sur une des dernières mesures de la loi de santé 2015, à savoir le choix du numéro d'INSEE (NIR) comme identifiant national de santé (INS). Rien n'est encore joué, et même si la décision est tenue ce n'est pas la fin du film.

L'INS ou l'art de peigner la girafe

A la manière d'une série télévisée de catégorie B genre année 80 – et de son univers impitoya-a-bleuuuu -, la loi de santé 2015 nous distille jour après jour ses avancées et nouvelles en tout genre.

Appel à concertation sur l'open data en santé

Le Conseil national de l’Ordre des Médecins, réuni en session plénière, demande la réécriture de l’article 47 du projet de la loi santé relatif à l’accès aux bases de données de santé. 

Le CNOM livre ses recommandations sur la santé connectée

Il y a un peu plus de deux ans, le Conseil national de l’Ordre des médecins (CNOM) invitait les médecins à s’approprier les outils du web santé en publiant un livre blanc intitulé « Déontologie sur le web ». Il poursuit aujourd’hui son travail de pédagogie – et d’évangélisation – avec la diffusion d’un nouvel ouvrage consacré à la santé connectée. 

La CNIL sert-elle encore à quelque chose ?

Entendons-nous bien : il ne s'agit pas de dénigrer une institution par plaisir, mais bien de poser une question de fond, même si elle fâche.

Protection des données personnelles : L'AFCDP endosse la déclaration du groupe article 29

Le 8 décembre 2014, à l'Unesco et en présence du Premier ministre, la Présidente de la CNIL a dévoilé la « Déclaration commune des autorités européennes de protection des données réunies au sein du groupe de l'article 29(1) ».

Ils/elles bougent

Ma lettre au Père Noël

Cher Père Noël,