Confidentialité383 documents taggés

Foliateam HealthCare : de l’hébergeur agréé à l’hébergeur certifié de données de santé

Le 21 février prochain, Foliateam et SynAApS organisent à Paris une conférence sur la réglementation en matière d’hébergement de données de santé en prévision du transfert de la procédure d’agrément vers celle de certification.

Baromètre sur l’e-santé et les Français

À l’occasion de ses journées « D4 Evolution », les 22 et 23 janvier 2019 à Paris, Medasys présente les résultats du baromètre sur l’e-santé et les Français, réalisé par le cabinet Deloitte, qui montre des perspectives prometteuses en matière de numérique malgré une utilisation limitée.

La formation continue ou comment sécuriser le parcours du patient… et celui de l’agent

Le directeur des systèmes d’information de l’Assistance publique-hôpitaux de Paris (AP-HP) a annoncé, en décembre 2018, la mise en œuvre d’un vaste plan de formation aux outils numériques et aux dossiers patients informatisés au bénéfice de l’ensemble des agents de l’institution.

Inria dévoile son Livre blanc sur la cybersécurité

Attaques DDoS : premières sanctions exemplaires prononcées !

Dans le domaine de la cybercriminalité, les attaques par déni de service distribué (DDoS) n’apparaissent pas comme étant les plus critiques. Pendant un laps de temps, un ou plusieurs services sont rendus indisponibles par un nombre conséquent de requêtes émises de manière synchronisée via un grand nombre de machines compromises constituant un « botnet », un réseau de machines contrôlées par un attaquant.

Quand le RGPD assure la protection du PMSI

Tout le monde a encore en mémoire l’affaire du centre hospitalier de Saint-Malo, révélée fin 2013 par la presse généraliste[1]et spécialisée.[2]La Commission nationale informatique et liberté (CNIL) lui avait adressé une mise en demeure d’avoir à se conformer aux exigences du code de la santé publique et de la loi n°78-17 du 6 janvier 1978.[3]

GHT et convergences fonctionnelles

S’il est un sujet qui me plonge dans un abîme de réflexion, c’est bien celui-ci : comment faire converger le SI des établissements d’un GHT ? Sur le plan fonctionnel s’entend.

Microsoft et Enovacom : une offre complète pour la Messagerie Sécurisée de Santé

Microsoft et Enovacom se rencontrent et forment un partenariat dédié 100% au monde de la santé. Microsoft a obtenu il y a quelques semaines la certification Hébergeur de Données de Santé (HDS), lui permettant de proposer Office 365 compatible MSSanté, avec l’appui d’Enovacom, éditeur de logiciels et leader dans la messagerie sécurisée de santé depuis 2003. L’objectif commun pour les deux entreprises ? Assurer la confidentialité des informations médicales échangées entre acteurs de santé.

Le MiPih met du PEPS dans vos échanges

La messagerie sécurisée Medimail du MiPih, première messagerie MSSanté de France, s’inscrit dorénavant dans une solution complète et modulable appelée MediPEPS.

« Concilier recherche médicale et RGPD, un prérequis indispensable pour continuer à innover »

Par Carole Le Goff, Sales & Marketing Manager, e-Health chez bcom

Certification HDS : puissance VS souveraineté

La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?

Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause

Pour préserver la confidentialité et éviter toute violation de données à caractère personnel, à plus forte raison lorsqu’il s’agit de données aussi sensibles que les données de santé manipulées au quotidien par nos utilisateurs, le recours au chiffrement peut s’avérer nécessaire, comme le souligne à plusieurs reprises le RGPD.

Top 3 des incidents SSI Santé des semaines passées

Les dernières semaines ont encore été riches en « fails » pour le secteur de la santé, en France et à l’international.

Comment simplifier la gestion des mots de passe sécurise nos données en tant que patient

Mais je fais quoi avec tous ces mots de passe ? Partie III

Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Dans le deuxième volet nous avons tenté une ébauche de solution de stockage des ID/MDP en fonction des catégories susnommées. Poursuivons.

Mais je fais quoi avec tous ces mots de passe ? Partie II

Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Poursuivons.

Mais je fais quoi avec tous ces mots de passe ? Partie I

C’est un sujet qui revient régulièrement dans la presse, et en cours les élèves – toute formation confondue – posent souvent la question : avec la multiplication des mots de passe d’accès aux services divers et variés (banque en ligne, réseaux sociaux, etc.), quelles sont les bonnes pratiques à adopter ? J’avais besoin d’un cobaye pour tester deux ou trois trucs, j’ai pris le plus disponible à défaut du plus intelligent : moi ! J’insiste sur le fait qu’il n’y a pas de bonne solution universelle aux questions soulevées dans cet article, et de plus ce domaine suscite immanquablement des débats enflammés, l’indulgence du lecteur est donc requise.

Intégration des GHT dans leur territoire

Les 27es Journées nationales d’Athos se tiendront les 18 et 19 octobre à Arles sur le thème « Les GHT et les autres acteurs de santé de territoire ».

Google pourrait-il connaître l’état de santé de tout le monde ou presque ?

Déduire la situation sanitaire des utilisateurs de ses services ou identifier les titulaires d’une carte de crédit, même si leurs achats ont lieu hors ligne, Google en serait-il capable ?

Orages de vulnérabilités pour des inondations d’informations

Les données de santé de 2 millions de patients mexicains exposés sur Internet

Def Con 2018 : le chercheur Douglas McKee récupère et modifie les constantes vitales d’un patient

La Def Con figure parmi les conférences les plus incontournables dans le domaine de la sécurité numérique. Pour sa 26ème édition à Las Vegas qui s’est déroulée du 9 au 12 août, la sécurité des dispositifs médicaux faisaient partie, une fois encore des sujets phares de l’évènement.  

Les archives, meilleurs amis du RSSI ?

Pour le dernier article de cette première moitié d’année, j’ai décidé de revenir sur la question du rattachement hiérarchique et fonctionnel du RSSI : après tout, tant qu’à commenter des idées stupides, autant qu’elles viennent directement de moi. En l’occurrence, je me suis interrogé sur la question de savoir s’il était opportun ou pas de rattacher le RSSI au service des archives.

Informatique de santé : les leçons très altruistes du Syntec

Dans un article récent de tic santé(1) qui relate une interview avec un représentant du Syntec, le lecteur pourra prendre connaissance de conseils de bon aloi de ce dernier concernant l’informatique de santé. Ainsi, le Syntec travaille (je cite) à un programme de sensibilisation des directions générales, afin de leur porter la bonne parole – sans nul doute entièrement désintéressée – et leur expliquer les avantages de l’externalisation. Bien entendu, les informaticiens ne sont pas conviés à ce genre d’intervention, on ne va tout de même pas inviter les soutiers à des débats stratégiques, que diable !  

Quid de la conformité au RGPD en santé ?

Le RGPD, vous connaissez ? Vous en avez entendu parler, bien entendu. Commençons par quelque chose de factuel : il s’agit d’un règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. On parle de règlement général sur la protection des données, ou de RGPD. Le RGPD (et non « la RGPD ») est entré en vigueur le 25 mai 2018.

Le GCS Guyasis choisit Medimail pour sa messagerie sécurisée de santé

Le groupement de coopération sanitaire Guyane Système d’information de Santé (GCS GUYASIS) a décidé de faire confiance au GIP MiPih et à sa solution de messagerie sécurisée Medimail, première messagerie sécurisée MSSanté compatible en France.

Rendez-vous médicaux en ligne et données personnelles : le scandale australien

Alors qu’en France, le marché de la prise de rendez-vous médicaux en ligne est en plein essor et que certains professionnels de santé libéraux imposent ce système à leur patientèle en refusant tout bonnement la prise de rendez-vous par téléphone. Nos amis australiens, échaudés par les pratiques de la plateforme de prise de rendez-vous médicaux de référence en Australie, vont sûrement réviser leur jugement sur ce type de services.

Le Centre Léon Bérard avec Orange Healthcare et Biomouv lancent un programme d’activité physique adaptée avec un dispositif connecté pour améliorer la prise en charge des patientes suivies pour un cancer du sein

Le Centre Léon Bérard lance une étude clinique pour évaluer l’efficacité d’un dispositif avec bracelet connecté dans le cadre de son programme d’activité physique adaptée (APA) proposé depuis 2010. Cette étude, baptisée DISCO, a été mise en place en partenariat avec Orange Healthcare et Biomouv. Pendant deux ans, plus de 400 femmes suivies pour un cancer du sein localisé intégreront ce nouveau programme de recherche.Pour mener cette étude, un programme d’APA innovant grâce à l’utilisation des nouvelles technologies et pouvant être réalisé en autonomie a été construit par le département Cancer et Environnement du Centre Léon Bérard et la société Biomouv.

RGPD VS Cloud Act

À deux jours de l’entrée en vigueur du RGPD programmée depuis deux ans, on peut s’interroger sur la position des États-Unis qui ont promulgué contre tout attente le 23 mars dernier, soit deux mois avant l’entrée en vigueur du règlement européen une loi qui pourrait bien le « remettre en question ». Sacré pied de nez, non ?

Comment garantir la qualité et l'accès aux données de vos patients ?

Du 29 au 31 Mai prochain, retrouvez Enovacom au salon HIT, le salon professionnel leader de l’IT santé durant la Paris Healthcare Week. Rendez-vous Stand O56.

Cloud Clipboard : la nouvelle fonctionnalité Windows qui va mettre en péril la confidentialité de nos données

Les utilisateurs « bêta testeurs » de Windows 10 participant au programme Windows Insider ont pu découvrir en avant-première, le 9 mai dernier, de nouvelles fonctionnalités dans la « Preview Build 17666 »publiée par Microsoft. Au-delà du thème « sombre » de l’explorateur de fichiers et de la possibilité de lancer des recherches Bing depuis le bloc-notes, une nouvelle fonctionnalité baptisée « Cloud Clipboard »a particulièrement attiré mon attention.

Le RGPD ou l’art de se payer notre tête, version US

Certaines entreprises informatiques feraient mieux de faire de l’informatique et d’arrêter de vouloir faire du juridique, surtout quand le boulot est aussi mal torché. Parmi celles-ci, l’une, dont je tairai le nom (elle a inventé le PC dans les années 1980 et ses cadres portent tous des chemises de couleur bleue, n’insistez, pas je ne donnerai aucun nom), s’est piquée d’envoyer un mail concernant l’avenant RGPD, qu’il faut absolument que je vous fasse suivre. Voyez plutôt (les caractères en gras sont de moi).  

Protéger les données personnelles et responsabiliser les acteurs

Le règlement général européen sur la protection des données personnelles (RGPD), applicable dès le 25 mai, sera le nouveau garant du respect de la vie privée, notamment en ce qui concerne les données de santé.

Facebook à la conquête des données de santé ?

Décidément Facebook n’en fini pas de faire couler de l’encre, ou de remplir de pixels nos écrans en ce moment.  

Vous reprendrez bien un peu de RGPD ?

J-14 avant le lancement du 6e Congrès national de la sécurité des SI de santé, qui se déroulera au Mans les 3, 4 et 5 avril 2018. « Le RGPD par ceux qui ont les mains dedans, pour ceux qui y sont jusqu’au cou » est la conférence inédite préparée spécialement pour l’événement par Cédric Cartau, RSSI et DPO du CHU de Nantes. De quoi parle-t-elle ?

GE Healthcare « patche » 20 dispositifs médicaux

Le constructeur GE Healthcare annonce la mise à disposition d’importants correctifs de sécurité pour 20 dispositifs d’imagerie médicale sur 23 identifiés comme vulnérables, à la suite des travaux réalisés par le chercheur en sécurité Scott Erven. Cet expert en sécurité depuis près de 20 ans travaille depuis 2010 dans le domaine de la sécurité appliquée au monde de la santé et, ces dernières années, dans la recherche sur les dispositifs médicaux.

DPI de GHT : habilitations et contrôles, partie IV

Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour aller vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès. Dans une troisième partie(3), nous avons décrit les grands principes du système de contrôle d’accès aux données patients. Intéressons-nous maintenant à la question des accès aux données des administrateurs qui, à une époque pas si lointaine, faisait pas mal fantasmer dans les chaumières (j’ai connu des diplodocus qui refusaient de saisir des données dans un logiciel métier au prétexte que le DBA(4) y avait accès en direct en saisissant des requêtes SQL).  

Des garde-fous pour les plateformes de rendez-vous médicaux en ligne

Dix plateformes de prise de rendez-vous médicaux en ligne ont signé, le 15 février, une charte e-RDV rédigée par l’URPS médecins libéraux d’Île-de-France(1). Cette initiative fait suite à l’audit réalisé il y a un an par la commission Nouvelles Technologies de l’URPS.  

Nos sites web dans la lunette des assaillants

Diffusion de logiciels malveillants, hébergement de pages de phishing, vols d’informations, porte d’entrée dans le système d’information, minage de cryptomonnaies(1)… Les raisons de s’en prendre à nos sites Web ne manquent pas, ainsi que les conséquences désastreuses qui en découlent : atteinte à l’image de l’établissement, perte de confiance de la part des patients, intrusion dans le système d’information, intégrité, disponibilité et confidentialité des données de santé mises à mal, et dans le pire des cas, risques pour la vie des patients. La sécurité de nos sites web n’est donc pas à prendre à la légère.

Hébergement des données de santé : pourquoi passer directement à la certification ?

Une nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique va remplacer l’actuelle procédure d’agrément au 1er avril 2018. A ce titre, l’ASIP Santé encourage vivement les candidats qui souhaitent déposer des dossiers HDS à privilégier la procédure de certification plutôt que celle de l’agrément.

DPI de GHT : habilitations et contrôles, partie I

La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.

Notre confiance dans le « chiffrement » remise en question

La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».

L’agrément HDS de Claranet e-Santé renouvelé pour la 3ème fois

Claranet e-Santé a renouvelé son agrément Hébergeur de Données de Santé (HDS) pour la 3ème fois par décision du Ministère de la Santé. Cette étape finalise et officialise la transmission d'agrément de Grita vers Claranet suite à la fusion des deux entités juridiques, opérée en décembre 2016. La société Grita était l’un des premiers infogéreurs français à obtenir l’agrément en 2010. Elle s’est rapprochée de Claranet pour devenir Claranet e-Santé.

L’appréciation des risques façon Armageddon

Prenez deux RSSI, branchez-les sur la question de la méthode de l’appréciation des risques, et il y a de fortes chances que le lendemain à la même heure ils soient encore en train de s’écharper sur la question de savoir quelle est la meilleure. Petit historique.

INFINITY, la nouvelle messagerie instantanée sécurisée MiPih/BOTdesign

Lors des 6es Journées du MiPih, Le MiPih et BOTdesign ont présenté INFINITY, la nouvelle messagerie instantanée sécurisée au service des patients et des professionnels de santé.

Le GIP ESEA, premier GRADeS en Région

Opérationnel depuis le 1er octobre, le nouveau GRADeS GIP ESEA Nouvelle-Aquitaine a vocation à se substituer aux GCS e-santé Poitou-Charentes et TéléSanté Aquitaine, ainsi qu’à l’activité e-santé du GCS Epsilim. Fort de ses 3 agences de proximité, il est un acteur incontournable du développement de la santé numérique en Nouvelle-Aquitaine.

DSIH Formations, une nouvelle activité de DSIH avec deux offres de formation en phase avec l’actualité SI de Santé

Convaincue que les professionnels de santé doivent poursuivre un processus dynamique d’acculturation aux technologies numériques en constante évolution, l’équipe de DSIH lance son activité de formation avec d’ores et déjà deux modules proposés : « Stratégie des SI de Santé » et « ISO/IEC 27001 Lead Implementer ».

Nouveau coup dur pour les hôpitaux anglais

Les systèmes d’informations de santé britanniques reviennent sur le devant de la scène pour le meilleur du pire.

Wraptor présente sa nouvelle release Jeebop MSSanté

Wraptor, éditeur de solutions dédiées au monde de la santé, premier éditeur à connecter un site pilote lors de l’expérimentation de l’ASIP Santé en 2014, annonce la disponibilité de la nouvelle version de Jeebop MSSanté permettant de sécuriser efficacement les échanges électroniques réalisés par les professionnels de santé.

Simplifier la saisie des comptes rendus médicaux

Les comptes rendus d’hospitalisation doivent être remis aux patients le jour de leur sortie. En réponse à cet enjeu de taille pour les établissements, Simplify se positionne comme l’assurance compte rendu.

Biométrie : votre cœur pour mot de passe