RGPD313 documents taggés

Cyberattaques, un SOC pour se mettre au sec

175 jours... C’est le délai moyen de détection d’une cyberattaque pour une entreprise en Europe, tous secteurs confondus. Or, une cybersécurité efficace ne peut rimer qu’avec célérité. Pour garder en permanence un œil sur la sécurité d’un système d’information, ITrust, spécialiste en la matière, préconise de recourir à un SOC, un Security operation center.

Suède : 2,7 millions d’enregistrements téléphoniques de patients en libre accès sur Internet

Je pense que nous n’avons pas fini d’entendre parler de cette histoire qui secoue depuis quelques jours le pays des Vikings, d’ABBA et des Krisprolls. En effet, la Suède semble beaucoup plus au fait de la recette des petits pains grillés que celle du RGPD.

Evaluer les dispositifs médicaux connectés, y compris ceux faisant appel à l'intelligence artificielle

Face à l'essor des dispositifs médicaux connectés, la HAS publie un guide précisant les spécificités de leur évaluation clinique à l'attention des industriels qui sollicitent leur remboursement. Si l'évaluation repose sur les mêmes critères que pour tout autre type de dispositif médical, des spécificités liées à leur caractère connecté doivent être prises en compte : rapidité d'évolution de la solution technologique, interactions multiples entre patients, aidants, soignants et autres dispositifs médicaux ou objets, intégration de systèmes experts traitant les données (algorithmes avec ou sans intelligence artificielle).

Le Canard hoquette

Dans un récent article, Le Canard enchaîné révèle que « les as de la cyberdéfense ont laissé traîner leurs petits secrets sur le Web »(sic). Avec un titre pareil, on se jette sur le papier pour découvrir quel est l’irresponsable qui a oublié les règles de base du métier, et là, ô déception : il s’agit du Clusif.

L’Europe recommande un format européen d’échange des données de santé

À l’heure où la convergence des SI de GHT amène parfois à tirer vers le bas des établissements « à jour» en reculant de trois versions du format d’échanges HL7 parce que ça coûte moins cher de faire régresser les petits que de faire évoluer l’établissement support. N’oublions pas que dans convergence, il n’y a pas que le mot vergence (14 points au Scrabble tout de même). La Commission Européenne a publiée mercredi 6 février, une recommandation relative à un format européen d’échange de données de santé [1].

RGPD, ces sujets que l’on n’avait pas vus venir

Le RGPD rend humble. En tout cas, c’est le constat que je fais après plusieurs mois de pratique, car le RGPD – ou plutôt l’approche RGPD – permet de lever des lièvres et de prendre connaissance de dossiers qui ne seraient jamais parvenus jusqu’au CIL (correspondant Informatique et Libertés). En voici trois exemples, sans prétention.

Trophées du droit, le cabinet Yahia avocats distingué

Le 31 janvier dernier se déroulaient les 19èmes Trophées du droit, à Paris, au Pavillon d’Armenonville. Le cabinet de Maître Omar Yahia, avocat spécialiste du droit de la santé et contributeur de la première heure de DSIH, a été distingué « Equipes montantes » dans la catégorie Santé-pharmacie.

Entre les finances hospitalières et les droits du patient, les priorités ne font plus de doute

C’est ce qu’il ressort de l’analyse du décret n°2018-1254 du 26 décembre 2018, précisant les modes d'organisation de la fonction d'information médicale, et que notre Cabinet a déjà eu l’occasion d’évoquer dans un précédent article (1). 

Sécurité, RGPD, code de la santé publique : les ports USB devraient-ils rester fermés ?

Les ports USB des postes clients, des serveurs, des tablettes, des smartphones, sans oublier les dispositifs médicaux, sont, au-delà du vecteur de communication dont la simplicité d’utilisation est enfantine, une véritable source de problèmes en tout genre pour la sécurité de nos SI de santé, ainsi que des données de nos patients.

Rendez-vous avec les algorithmes

« Hôpital numérique » est un concept qui admet plusieurs définitions, dont la suivante : il s’agit de l’ensemble des technologies mises en œuvre pour supprimer, autant que faire se peut, les goulets d’étranglement dans la « chaîne de production » des actes médicaux. Je prie le lecteur d’excuser cette vision industrielle du soin, ce n’est qu’une forme de modélisation. À l’origine de cette vision en flux, il y a l’ouvrage de Goldratt [1], que j’invite ardemment à lire.    

Salon HIT 2019 : dès aujourd’hui, l’organisation des soins de demain

Pour sa 12e édition, qui aura lieu du 21 au 23 mai 2019, à Paris Expo, porte de Versailles, le Salon HIT est l’événement numéro un en France pour les TIC, les systèmes d’information et l’e-santé. Il est l’atout de la transformation numérique et high-tech de la Paris Healthcare Week. Après le succès du HIT Summit de l’année dernière, l’expérience est renouvelée, et plutôt deux fois qu’une.

Windows 7 : à moins d’un an de la retraite

L’année 2019 sera une année charnière pour nos systèmes d’information de santé. En effet, le système d’exploitation Windows 7, encore majoritairement présent dans de nombreux établissements, tirera sa révérence après 10 années de bons et loyaux services. Microsoft arrêtera officiellement le support de « seven » le 14 janvier 2020 [1] et ne publiera donc plus de correctifs de sécurité au-delà de son « patch tuesday » du 10 décembre 2019.

Inria dévoile son Livre blanc sur la cybersécurité

L’Apssis annonce la publication de son Ouvrage Collectif SSI Santé

Premier Ouvrage collectif dédié à la sécurité des systèmes d’information de santé, produit par l’Apssis, avec le support de l’ASIP Santé, et grâce à la bienveillance et à la passion qui animent cet écosystème !

La nouvelle formation de l’APSSIS (SSI V3) : maîtriser et incarner la fonction SSI

L’APSSIS annonce sa nouvelle formation, délivrée à partir de janvier 2019. Cette formation de 3 jours, spécialement conçue pour les professionnels de santé en charge de la sécurité des SI, pourrait s’intituler « maîtriser et incarner la fonction », avec son contenu inédit qui mêle apprentissages et mises en situation. Vincent TRELY, Président de l’APSSIS et concepteur de la formation, en rappelle la genèse et présente ce troisième volet, qui s’inscrit dans une progression logique.

Quand le RGPD assure la protection du PMSI

Tout le monde a encore en mémoire l’affaire du centre hospitalier de Saint-Malo, révélée fin 2013 par la presse généraliste[1]et spécialisée.[2]La Commission nationale informatique et liberté (CNIL) lui avait adressé une mise en demeure d’avoir à se conformer aux exigences du code de la santé publique et de la loi n°78-17 du 6 janvier 1978.[3]

C’est le jour des bonnes résolutions

Traditionnellement, le premier article de l’année est dédié à la fois au bilan de celle qui vient de s’écouler et aux bonnes résolutions de celle qui s’annonce.

ZOOM GHT : la parole à Nicolas Limoge, DSI du GHT Saône-et-Loire Bresse-Morvan

Chalonnais de longue date, Nicolas Limoge a grimpé les échelons au sein de structures hospitalières locales. Depuis deux ans, il a pris la tête de la DSI du GHT Saône-et-Loire Bresse-Morvan qui regroupe huit établissements.

Le scoop de la semaine : la CNIL n’est pas conforme au RGPD…mais ce n’est pas grave

La chaîne Youtube Legiscope, vous connaissez ? Proposée par Thiébault Devergranne, vous y trouvez des vidéos très explicatives sur le RGPD, on peut quasiment s’y former de fond en comble, ou presque.

La confiance et l'humain comme philosophie directrice d'Acetiam

Acetiam a désormais un nouveau Directeur Général en la personne de Lân Guichot. Nous avons rencontré cet ingénieur au parcours atypique qui prône, au sein de ses équipes, une philosophie basée sur la confiance et sur l'humain,des notions que véhicule également la maison mère nehs, qui œuvre pour prendre soin de ceux qui soignent.

« Concilier recherche médicale et RGPD, un prérequis indispensable pour continuer à innover »

Par Carole Le Goff, Sales & Marketing Manager, e-Health chez bcom

Journée régionale « Sécurité numérique en santé », le 20 novembre à Angers

Le 20 novembre prochain, l’Agence Régionale de Santé des Pays de la Loire, en collaboration avec le GCS e-santé, organise une nouvelle journée dédiée à la « Sécurité Numérique en Santé ».

Certification HDS : puissance VS souveraineté

La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?

RGPD : un an après

Lors du prochain Congrès national de la sécurité des SI de santé de l’Apssis, qui se tiendra au Mans du 2 au 4 avril 2019, Cédric Cartau*, vice-président de l’Apssis, délivrera une conférence intitulée « RGPD : un an après ». Cette intervention donnera suite à celle qui, cette année, lors du 6e Congrès national, avait permis de présenter les travaux du CHU de Nantes. Dans le but d’alimenter la réflexion sur la mise en œuvre opérationnelle du RGPD, Cédric nous propose une publication originale, une analyse empreinte d’un premier recul, et pose une première série de diagnostics.

RGPD ou l’art de croire au père Noël

La société « Foutoir Informatique  » – n’insistez pas, je garantis toujours l’anonymat de mes sources – envoie à ses clients un avenant RGPD. Normal, me direz-vous, il s’agit là de l’un des points à régler afin de déterminer qui est responsable de quoi au sein d’un traitement dont le client est en principe RT (responsable de traitement) et le fournisseur ST (sous-traitant).

Sécurité des SI et conformité au RGPD en Guyane

Fin novembre, l’ARS de Guyane organisera, avec Normand Yves Consulting, une formation au RGPD destinée aux établissements sanitaires et médico-sociaux de la région.

Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause

Pour préserver la confidentialité et éviter toute violation de données à caractère personnel, à plus forte raison lorsqu’il s’agit de données aussi sensibles que les données de santé manipulées au quotidien par nos utilisateurs, le recours au chiffrement peut s’avérer nécessaire, comme le souligne à plusieurs reprises le RGPD.

Health Data Week, une semaine dédiée aux données de santé du 13 au 15 novembre 2018

Dans le cadre de la première édition de la Health Data Week, semaine du 13 au 15 novembre, la campagne « Faire avancer la santé numérique » (#FASN) et ses partenaires organisent plusieurs évènements à Amiens et Paris sur le thème des données de santé. Conférence, Keynote, Challenge start-up, World Café et Dîner du Cercle, toute la semaine s’habille aux couleurs de la data.

4ème Colloque SSI santé du Ministère (suite et fin)

Dans une première partie [1], nous avions évoqué la vision ministérielle relative à l’importance du numérique dans la transformation de notre système de santé, ainsi que les grandes lignes du programme HOP’EN.  

RGPD, saison des prunes au Portugal

Dans un article récent[1], on apprend que la CNPD (la Cnil portugaise) vient d’infliger une amende de 400 000 euros à un hôpital pour défaut de respect du RGPD. Analyse.  

Top 3 des incidents SSI Santé des semaines passées

Les dernières semaines ont encore été riches en « fails » pour le secteur de la santé, en France et à l’international.

La directive NIS en application, volet SSI, partie II

Dans le premier volet[1], nous avons décortiqué la directive NIS ainsi que son positionnement par rapport à l’avalanche de textes régissant la SSI qui nous ont submergés depuis 2016. Me Yahia a quant à lui embrayé sur les aspects juridiques du dispositif[2], avec une vision encore plus large sur les éventuels recouvrements avec le décret hébergeur et les obligations de signalement des incidents SSI (obligations multiples, signalements multiples). L’analyse de l’avocat et celle du RSSI se rejoignent sur un point : les ennuis ne font que commencer.  

La directive NIS, volet juridique, partie 1

Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !

La directive NIS en application, volet SSI, partie I

Alors que le landerneau informatique avait les yeux rivés, au matin du 25 mai dernier, sur la sortie du RGPD, personne ou presque n’a manifesté son inquiétude ou son intérêt à propos du décret n° 2018-384 relatif à la directive NIS, pourtant promulgué deux jours plus tôt (et je laisse à mon illustre coauteur Me Yahia le soin d’apporter les précisions adéquates sur la structure des textes et leurs relations).

Cybersécurité Santé : trois jours d’échanges et de conférences au #CNSSIS2019 !

Le 7e Congrès national de la sécurité des SI de santé se prépare. Nouveautés, objectifs et analyse : interview de Vincent Trély, président de l’Apssis et organisateur du CNSSIS 2019.

ZOOM GHT La parole à… Martine Barbet, DSI du GHT des Pyrénées Ariègeoises

Le Centre hospitalier du Val d’Ariège, le CH Ariège Couserans, celui du Pays d’Olmes, de Tarascon-sur-Ariège, d’Ax-les-Thermes… voici le nom des établissements composant le cinq majeur du GHT des Pyrénées Ariègeoises. À Martine Barbet, directrice de la DSI, la responsabilité d’amener le SI de l’équipe à son meilleur niveau.

Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

Pour commencer ce mois international de la cybersécurité, je vous propose un petit tour rapide des dernières actualités SSI du moment.  

Phishing, rançongiciel, fuite de données, DDoS : ça chauffe aussi sous le soleil cyber

Depuis le début du mois, nous observons dans les établissements de santé français deux importantes campagnes de courriels malveillants.

Externalisation des SI : le GHT comme argument fallacieux

Dans un article récent de Tic Santé (1) qui relate la position Syntec numérique concernant l’externalisation, le lecteur pourra prendre connaissance d’un argumentaire éculé qui relève plus de la discussion de comptoir que d’une réelle connaissance du secteur et de ce que recouvrent les concepts d’externalisation.    

Informatique de santé : les leçons très altruistes du Syntec

Dans un article récent de tic santé(1) qui relate une interview avec un représentant du Syntec, le lecteur pourra prendre connaissance de conseils de bon aloi de ce dernier concernant l’informatique de santé. Ainsi, le Syntec travaille (je cite) à un programme de sensibilisation des directions générales, afin de leur porter la bonne parole – sans nul doute entièrement désintéressée – et leur expliquer les avantages de l’externalisation. Bien entendu, les informaticiens ne sont pas conviés à ce genre d’intervention, on ne va tout de même pas inviter les soutiers à des débats stratégiques, que diable !  

Quid de la conformité au RGPD en santé ?

Le RGPD, vous connaissez ? Vous en avez entendu parler, bien entendu. Commençons par quelque chose de factuel : il s’agit d’un règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. On parle de règlement général sur la protection des données, ou de RGPD. Le RGPD (et non « la RGPD ») est entré en vigueur le 25 mai 2018.

Premières publications réalisées en France par des chercheurs ayant eu accès gratuitement aux données médico-économiques THIN, la base de données en vie réelle de GERS Data

GERS Data, filiale de Cegedim et acteur de référence en matière de données et analyses pour le marché de la santé en France, annonce la publication de premiers travaux réalisés par des médecins chercheurs grâce aux données(1)en vie réelle de la base de données THIN mise gratuitement à leur disposition(2).

Rendez-vous médicaux en ligne et données personnelles : le scandale australien

Alors qu’en France, le marché de la prise de rendez-vous médicaux en ligne est en plein essor et que certains professionnels de santé libéraux imposent ce système à leur patientèle en refusant tout bonnement la prise de rendez-vous par téléphone. Nos amis australiens, échaudés par les pratiques de la plateforme de prise de rendez-vous médicaux de référence en Australie, vont sûrement réviser leur jugement sur ce type de services.

Directive NIS, la fin de l’innocence

Si pas mal de monde avait les yeux rivés sur le RGPD le 24 mai au soir, et au-delà, on a beaucoup moins entendu parler du décret n° 2018-384, qui a pourtant été publié le 23 mai dernier, et qui concerne les obligations des futurs opérateurs de services essentiels (OSE), pendant de la LPM (loi de programmation militaire) pour les OIV (opérateurs d’importance vitale).

Un Cloud en Convergence

À l’occasion du Salon HIT 2018, le MiPih et le SIB ont annoncé leur association pour proposer « Convergence », la première offre de Cloud public santé en France.

Les enjeux du Cloud dans le cadre des GHT

Axians est la marque de Vinci Énergies dédiée aux solutions ICT. Dans un monde toujours plus connecté et collaboratif, Axians propose aux entreprises, administrations, fournisseurs de services ou opérateurs télécoms des solutions de gestion d’infrastructures réseaux, sous la forme de logiciels, de matériels et de services personnalisés. « Interview de Christophe Fogel, directeur du marché santé d’Axians »

Le guide pratique sur la protection des données personnelles est publié

Élaboré et rédigé conjointement par le Cnom et la Cnil à l'attention des professionnels de santé libéraux, ce guide pratique est disponible depuis ce 20 juin.

Comment la nouvelle certification d’hébergement de données de santé s’applique-elle aux métiers de l’hébergement et de l’infogérance ?

Par Adèle Adam, Data Protection Officer et Christophe Jodry, Directeur de l’offre eSanté chez Claranet France

Entrepôts de données de santé : la question de la sécurisation

Un article(1) récent qui traite de la mise en place de l’entrepôt de données de santé (EDS) à l’AP-HP et rapporte les propos du Pr Lechat lors du 10e Colloque « Données de santé en vie réelle » du 7 juin dernier. Un certain nombre de difficultés et d’enjeux sont évoqués, parmi lesquels la constitution des EDS qui représente sans nul doute la prochaine révolution dans le monde médical et qui transformera autant la pratique dans ce domaine que l’ont changée l’apparition de l’anesthésie, de l’imagerie médicale ou des antibiotiques.  

3 ans de prison pour avoir volé des données patient

Le moins que l’on puisse dire, c’est que les américains ne plaisantent pas lorsqu’il s’agit de données de santé. Un employé d’un établissement de santé publique destiné aux anciens combattants à Long Beach en Californie a été condamné le 4 juin dernier à trois ans de prison pour plusieurs de ses méfaits, dont le vol de données patient et plusieurs usurpations d’identités selon le Daily Breeze [1].