Vous êtes dans : Accueil > RGPD >

RGPD3883 documents taggés

SSI de santé : une idée pour sortir de l’âge de l’esbroufe

Cédric Cartau, le mar. 23 avril 2019 : Le Congrès de l’Apssis 2019 a débuté, comme chaque année, par la conférence institutionnelle. DGOS, Asip et Cnil étaient représentées, et différents thèmes ont été traités, depuis le RGPD en passant par les évolutions de l’agrément HDS et surtout le programme Hop’en. Lire la suite ...

Comment la nouvelle certification d’hébergement de données de santé s’applique-elle aux métiers de l’hébergement et de l’infogérance ?

, le mer. 20 juin 2018 : Par Adèle Adam, Data Protection Officer et Christophe Jodry, Directeur de l’offre eSanté chez Claranet FranceLire la suite ...

Covid-19 : le prétexte pour se relâcher en matière de protection des données ?

Charles Blanc-Rolin & Me Omar Yahia , le mar. 28 avril 2020 : En cette période de crise et de peur généralisée, alors que certains révèlent leurs plus bas instincts en menaçant des professionnels de santé, en vandalisant leurs voitures et en allant même jusqu’à cambrioler certains cabinets dans le but de leur dérober leurs équipements de protection, comme le rappelle Le Quotidien du médecin [1],« plus je connais les hommes, plus j’aime mon chien », selon la formule de Pierre Desproges. Lire la suite ...

Ce que le DPO n’est pas

Cédric Cartau , le mar. 10 décembre 2019 : Il arrive assez régulièrement que des confrères DPO me contactent pour me signaler certaines de leurs difficultés dans l’exercice de leur mission. Elles tournent régulièrement autour du même sujet : leur responsable de traitement (RT) refuse de mettre en œuvre les préconisations de sécurité dudit DPO, entendre par là les mesures destinées à réduire les risques identifiés. Le confrère en question me demande alors comment contraindre le RT à appliquer les mesures préconisées. Il me semble qu’il y a là une erreur de positionnement, qui vaut bien un billet.Lire la suite ...

Entrepôts de données de santé : la question de la sécurisation

Cédric Cartau, le mar. 19 juin 2018 : Un article(1) récent qui traite de la mise en place de l’entrepôt de données de santé (EDS) à l’AP-HP et rapporte les propos du Pr Lechat lors du 10e Colloque « Données de santé en vie réelle » du 7 juin dernier. Un certain nombre de difficultés et d’enjeux sont évoqués, parmi lesquels la constitution des EDS qui représente sans nul doute la prochaine révolution dans le monde médical et qui transformera autant la pratique dans ce domaine que l’ont changée l’apparition de l’anesthésie, de l’imagerie médicale ou des antibiotiques.  Lire la suite ...

Le guide pratique sur la protection des données personnelles est publié (communiqué) 

DSIH, le jeu. 21 juin 2018 : Élaboré et rédigé conjointement par le Cnom et la Cnil à l'attention des professionnels de santé libéraux, ce guide pratique est disponible depuis ce 20 juin.Lire la suite ...

RGPD, et alors ? Une synthèse positive et non alarmiste à l’usage des établissements de santé (communiqué) 

Vincent Trély, le mar. 12 décembre 2017 : Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.Lire la suite ...

Rendez-vous médicaux en ligne et données personnelles : le scandale australien (communiqué) 

Charles Blanc-Rolin, le lun. 09 juillet 2018 : Alors qu’en France, le marché de la prise de rendez-vous médicaux en ligne est en plein essor et que certains professionnels de santé libéraux imposent ce système à leur patientèle en refusant tout bonnement la prise de rendez-vous par téléphone. Nos amis australiens, échaudés par les pratiques de la plateforme de prise de rendez-vous médicaux de référence en Australie, vont sûrement réviser leur jugement sur ce type de services.Lire la suite ...

C’est le jour des bonnes résolutions (communiqué) 

Cédric Cartau , le lun. 07 janvier 2019 : Traditionnellement, le premier article de l’année est dédié à la fois au bilan de celle qui vient de s’écouler et aux bonnes résolutions de celle qui s’annonce.Lire la suite ...

Externalisation de la prise de rendez-vous médicaux en ligne : un pacte avec le diable ? (communiqué) 

Charles Blanc-Rolin & Me Omar Yahia , le mar. 10 mars 2020 : À l’ère du numérique, quel établissement de santé, s’il n’a pas encore franchi le pas, n’a jamais songé à mettre en place une solution de prise de rendez-vous en ligne pour ses patients ? Gain de temps pour les secrétaires médicales, redynamisation de l’image de l’établissement et confort pour les patients sont de véritables arguments de persuasion.Lire la suite ...

RGPD : un cadre vertueux pour les établissements de santé (communiqué) 

DSIH, Par Pierre Derrouch, le lun. 19 mars 2018 : Étape dans le renforcement de la protection des données qualifiée de majeure par la Cnil, le règlement général sur la protection des données, d’essence européenne avec des périmètres adaptés à chaque pays, entre en vigueur le 25 mai prochain. Faut-il n’y voir que des contraintes ?Lire la suite ...

En direct du 6ème Congrès National de l'APSSIS – l’état des lieux des GHT, le volet juridique (communiqué) 

Cédric Cartau , le jeu. 05 avril 2018 : Temps fort du congrès comme chaque année, M° Brac de la Perrière et M° Yahia nous éclairent sur l’état d’avancement de construction des GHT sur différents aspectsLire la suite ...

Vous prendrez bien un peu de données personnelles ? (communiqué) 

Cédric Cartau , le lun. 02 décembre 2019 : Un article, relayé largement sur LinkedIn[1] en fin de semaine, a attiré mon attention. Deux chercheurs de l’Université catholique de Louvain (Luc Rocher et Julien Hendrickx) se sont posé la question de savoir si des données anonymisées pouvaient tout de même être réidentifiées. On subodorait déjà que la réponse était oui : on en a maintenant la preuve. Explications.  Lire la suite ...

Ce que le DPO n’est pas (suite) (communiqué) 

Cédric Cartau , le mar. 17 décembre 2019 : Il n’était pas prévu de créer un second volet, mais à la suite du grand nombre de remarques et de commentaires (notamment de Boris Motylewski, créateur entre autres de www.cybersecu.fr) qu’a suscités le premier article (1) , il semble important d’apporter quelques précisions.Lire la suite ...

DPI de GHT : habilitations et contrôles, partie III (communiqué) 

Cédric Cartau, le mar. 20 février 2018 : Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour s’acheminer vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès.  Lire la suite ...

Formation DPO Certifié : le témoignage de Pascal Sabatier (communiqué) 

DSIH, Propos recueillis par Pierre Derrouch, le mar. 02 juillet 2019 : RSSI et délégué à la protection des données du Centre hospitalier intercommunal Aix-Pertuis et du Centre hospitalier de Salon-de-Provence, deux établissements du GHT des Bouches-du-Rhône, Pascal Sabatier a suivi la formation DPO Certifié organisée par DSIH Formations. Voici ce qu’il en pense.Lire la suite ...

Le groupement hospitalier de territoire du Centre Bretagne fait appel à LockSelf pour sécuriser les échanges de fichiers avec ses parties prenantes (communiqué) 

DSIH, le mar. 29 septembre 2020 : Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.Lire la suite ...

La santé prend cher en ce moment (communiqué) 

Cédric Cartau, le mar. 20 juin 2017 : Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.Lire la suite ...

Les dossiers médicaux de 150 000 patients américains en accès libre sur le cloud d’Amazon (communiqué) 

Charles Blanc-Rolin , le jeu. 12 octobre 2017 : Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.Lire la suite ...

Ouvrir son DPI aux patients, oui, mais comment ? (communiqué) 

Cédric Cartau, le lun. 13 novembre 2017 : Si je vous dis que les établissements de santé vont bientôt ouvrir leur dossier patient informatisé (DPI) à leurs usagers (les patients), vous me répondrez que si c’est pour écrire des trucs que l’on sait déjà, autant rester couché. Si je vous dis, en sus, que la dimension GHT va rendre le projet « factorisable », c’est-à-dire que la masse critique de la nouvelle méta-organisation va faire que la brique à déployer sera économiquement plus facile à financer, gérer, etc., vous êtes forcément d’accord. Mais si on commence à parler des contraintes projet mêlées aux contraintes normatives, là, c’est tout de suite plus sportif.Lire la suite ...

DPO : Quel profil pour quel positionnement ? (communiqué) 

Par Me Omar Yahia, le mar. 28 novembre 2017 : On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).Lire la suite ...

Le père Noël est en avance à la CNIL (communiqué) 

Cédric Cartau, le lun. 04 décembre 2017 : Le 29 novembre dernier s’est tenu au Ministère de la santé le traditionnel colloque SSI, organisé par la DGOS et avec une forte implication de Frédérique Pothier, qui « commet » encore un sans faute dans l’organisation. Ceux qui ont assisté à cette édition ainsi qu’aux précédentes savent que le temps fort est à chaque fois la séquence « Cela n’arrive pas qu’aux autres », avec des récits tantôt désopilants tantôt effrayants d’incidents IT en tout genre.Lire la suite ...

DPI de GHT : habilitations et contrôles, partie I (communiqué) 

Cédric Cartau, le mar. 06 février 2018 : La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.Lire la suite ...

Convergence des GHT, état des lieux (communiqué) 

Cédric Cartau, le mar. 06 mars 2018 : Relaté par Ticsanté(1), l’Asip Santé publie un état des lieux sur l’avancement de la convergence au sein des GHT.  Lire la suite ...

Medasys, une stratégie d’intégrateur orientée innovation (communiqué) 

DSIH, Pierre Derrouch, le mar. 22 mai 2018 : Pour faciliter la mise en œuvre des groupements hospitaliers de territoire, Medasys s’attelle à proposer des solutions adaptées, développées en propre ou par des tiers, qui optimisent les processus métiers et la coordination des soins sur le territoire à moindre coût. Au-delà de l’aspect technique, un accompagnement sur mesure est également procuré pour soutenir les établissements de santé dans la convergence de leur système d’information.Lire la suite ...

RGPD, la poudre aux yeux de Microsoft (communiqué) 

Cédric Cartau, le ven. 25 mai 2018 : J’adore ceux qui font des promesses qu’ils savent ne jamais avoir à ternir. Genre « si je gagne au Loto, j’en donne la moitié aux amis et à la famille ». Probabilité : 1 chance sur 14 millions, y’a pas grand risque.Lire la suite ...

La sauvegarde des données de santé : une question majeure pour les établissements de santé (communiqué) 

DSIH, Pierre Derrouch, le mar. 29 mai 2018 : Préserver une copie des données des systèmes d’information dans un cadre sécurisé est une priorité pour les établissements de santé ; les restaurer avec le même souci de protection de leur intégrité est tout aussi important. La société Kiwi Backup a développé une solution simple, conforme à la législation et peu onéreuse.Lire la suite ...

RGPD : ITrust et le cabinet Harlay Avocats accompagnent les responsables de traitement de données (communiqué) 

DSIH, Pierre Derrouch, le mar. 19 juin 2018 : Avec l’entrée en application du règlement général sur la protection des données le 25 mai 2018, une nouvelle ère s’ouvre pour les responsables de traitement des données de santé. À charge pour eux de veiller à être en conformité avec ce nouveau règlement. ITrust, société d’expertise en cybersécurité, et le cabinet Harlay Avocats s’allient pour proposer aux établissements une solution clé en main.Lire la suite ...

La directive NIS, volet juridique, partie 1 (communiqué) 

Me Omar Yahia , le mar. 16 octobre 2018 : Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !Lire la suite ...

4ème Colloque SSI santé du Ministère (suite et fin) (communiqué) 

Charles Blanc-Rolin, le mar. 30 octobre 2018 : Dans une première partie [1], nous avions évoqué la vision ministérielle relative à l’importance du numérique dans la transformation de notre système de santé, ainsi que les grandes lignes du programme HOP’EN.  Lire la suite ...

La nouvelle formation de l’APSSIS (SSI V3) : maîtriser et incarner la fonction SSI (communiqué) 

APSSIS, le lun. 14 janvier 2019 : L’APSSIS annonce sa nouvelle formation, délivrée à partir de janvier 2019. Cette formation de 3 jours, spécialement conçue pour les professionnels de santé en charge de la sécurité des SI, pourrait s’intituler « maîtriser et incarner la fonction », avec son contenu inédit qui mêle apprentissages et mises en situation. Vincent TRELY, Président de l’APSSIS et concepteur de la formation, en rappelle la genèse et présente ce troisième volet, qui s’inscrit dans une progression logique.Lire la suite ...

Rendez-vous avec les algorithmes (communiqué) 

Cédric Cartau , le mar. 05 février 2019 : « Hôpital numérique » est un concept qui admet plusieurs définitions, dont la suivante : il s’agit de l’ensemble des technologies mises en œuvre pour supprimer, autant que faire se peut, les goulets d’étranglement dans la « chaîne de production » des actes médicaux. Je prie le lecteur d’excuser cette vision industrielle du soin, ce n’est qu’une forme de modélisation. À l’origine de cette vision en flux, il y a l’ouvrage de Goldratt [1], que j’invite ardemment à lire.    Lire la suite ...

Entre les finances hospitalières et les droits du patient, les priorités ne font plus de doute (communiqué) 

Me Emmanuelle Peletingeas, le mar. 05 février 2019 : C’est ce qu’il ressort de l’analyse du décret n°2018-1254 du 26 décembre 2018, précisant les modes d'organisation de la fonction d'information médicale, et que notre Cabinet a déjà eu l’occasion d’évoquer dans un précédent article (1). Lire la suite ...

Lubie du secteur de la santé vs RGPD (communiqué) 

Charles Blanc-Rolin , le mar. 12 mars 2019 :      Lire la suite ...

2019 : bilan à mi-parcours (communiqué) 

Cédric Carau, le mar. 02 juillet 2019 : Juin se termine sous la chaleur, il est temps de faire le bilan de cette première partie d’année 2019.Lire la suite ...

Délibération CNIL du 4 juillet 2019 : nouvelle réglementation sur le pistage numérique (communiqué) 

Charles Blanc-Rolin, le mar. 17 septembre 2019 : Cette nouvelle délibération de la CNIL [1] arrive comme une pépite de chocolat sur le cookie afin de préciser les lignes directrices relatives à l’application de l’article 82 de loi informatique et libertés [2] et plus précisément aux opérations de lecture / écriture de traceurs sur le terminal d’un utilisateur.Lire la suite ...

Vers un espace européen commun des données relatives à la santé (communiqué) 

DSIH, Damien Dubois, le mar. 25 février 2020 : Le 19 février, la Commission européenne a publié sa stratégie pour les données, qui prévoit notamment de créer neuf espaces européens uniques des données, dont un consacré aux données de santé.Lire la suite ...

Confinement : en profiter pour mettre un peu d’ordre (communiqué) 

Cédric Cartau, le mar. 14 avril 2020 : Tant qu’à être bloqués à la maison, autant en profiter pour mettre un peu d’ordre et faire du rangement.Lire la suite ...

Invalidation du Privacy Shield – ça va piquer un peu (communiqué) 

Cédric Cartau, le mar. 21 juillet 2020 : Certains admirent les acteurs de cinéma célèbres, les pilotes de chasse, les baroudeurs ou les artistes rock. OK, OK, je respecte, chacun son truc. Moi, ce que j’adore, ce sont les teignes. Le genre qui fiche le bazar partout où il passe, le style de Détritus dans La Zizanie(je vous conseille de lire ou de relire les premières pages, c’est énorme) ou de Jacques Brel dans L’Emmerdeur.Lire la suite ...

Faut-il chiffrer les données de son DPI ? Volet 3 (fin) (communiqué) 

Cédric Cartau, le mar. 29 septembre 2020 : Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique. Dans le deuxième volet, nous avons abordé les conséquences de la première loi selon laquelle le chiffrement ne protège que des attaques sur les couches inférieures, et surtout les conséquences de cette loi concernant le chiffrement des données contre les accès des informaticiens.Lire la suite ...

Rappel des rendez-vous par SMS : un risque pour la confidentialité ? (communiqué) 

Charles Blanc-Rolin , le lun. 13 mars 2017 : Le rappel de rendez-vous par SMS s’est démocratisé ces dernières années, y compris dans le secteur de la santé.Lire la suite ...

Transition numérique : les établissements de santé ont-ils toujours un train de retard ? (communiqué) 

Charles Blanc-Rolin , le lun. 27 mars 2017 :                 Lire la suite ...

Le SOC sous pression (communiqué) 

DSIH, Marie-Valentine Bellanger, le lun. 27 mars 2017 : Un SOC (Security Operations Center) permet d’analyser et de monitorer en temps réel l’activité des SI d’une structure avec l’objectif de détecter les vulnérabilités et les menaces, mais aussi d’identifier et d’analyser les intrusions et leur impact afin de mettre en place la réponse adaptée. Encore faut-il être sûr de la fiabilité et de la robustesse de son SOC ! Forte de son expertise en sécurité informatique, la société ITrust propose une offre innovante : le Stress Test SOC. Objectif : mettre sous pression votre SOC ! Entretien avec Marion Godefroy, Marketing and Communication Manager.Lire la suite ...

Sécurité des SI : penser GHT, partie I (communiqué) 

Cédric Cartau, le mar. 09 mai 2017 : Pas une semaine ne se passe sans qu’on lise, dans la presse spécialisée, des articles à qui mieux mieux sur les difficultés de mise en œuvre des GHT, laquelle va être compliquée, voire impossible sans fusion, etc.Lire la suite ...

Lettre ouverte d’un RSSI excédé à certains fabricants de systèmes embarqués non protégés (communiqué) 

Cédric Cartau, le mar. 06 juin 2017 :                                             Lire la suite ...

Sous la plage, les octets (communiqué) 

Cédric Cartau, le lun. 31 juillet 2017 : Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.Lire la suite ...

Cybersécurité Santé : la formation APSSIS délivrée à Dinard les 11, 12 et 13 septembre (3 places disponibles) (communiqué) 

DSIH & APSSIS , le mar. 01 août 2017 : Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. La formation sera délivrée à Dinard, en partenariat avec DSIH magazine, les 11, 12 et 13 septembre 2017. Lire la suite ...

ITrust : l’expertise au service de la sécurité (communiqué) 

DSIH, Marie-Valentine Bellanger, le mar. 03 octobre 2017 : ITrust est un éditeur de solutions innovantes en cybersécurité. Créée en 2007, la société compte aujourd’hui 200 clients privés ou publics et plus de 300 000 IP supervisées en continu. Très présente dans l’écosystème de la cybersécurité, elle ne cesse d’innover. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.Lire la suite ...

RGPD, suite et peut-être fin (communiqué) 

Cédric Cartau, le lun. 23 octobre 2017 : Le sujet s’étire en longueur, mais à force de creuser on se rend compte que certains aspects sont plus compliqués que prévu.Lire la suite ...