Home Données hospitalières Changement de la procédure de certification « Hébergeur de données de santé...

Changement de la procédure de certification « Hébergeur de données de santé »

249
0

En France, en octobre 2017, on comptait au total 96 hébergeurs de données de santé agréés par le gouvernement. A partir de 2018, le système d’agrément des hébergeurs de données de santé va évoluer vers une certification basée sur les normes ISO. D’une certification fondée sur un dossier de demande d’agrément et l’avis du Ministère de la Santé, nous allons passer à une certification basée sur des normes ISO et un audit sur site.

La procédure de certification actuelle

Le modèle actuel, qui arrive en fin de vie, est basé sur le décret numéro 2006-6 du 4 janvier 2006 qui définit entre autres, les procédures d’agrément. Elles sont basées sur un dossier déclaratif du candidat hébergeur. Dans ce dossier, le candidat exprime qu’il détient les qualités requises et qu’il est conforme aux règles mises en place par le Ministère de la santé concernant le stockage des données de santé. Ce dossier est ensuite remis à l’ASIP (Agence des Systèmes d’Information Partagés de Santé) et à la Cnil (Commission nationale de l’informatique et des libertés) qui, après évaluation du dossier (et si cette dernière s’avère positive), réaliseront une enquête dans les locaux du candidat afin de s’assurer qu’il respecte les conformités techniques et organisationnelles. Si toutes les conditions sont validées, l’agrément est délivré pour une durée de trois ans par le Ministre de la Santé après avis de la Cnil et du CAH (Comité d’Agrément des Hébergeurs). Si, au bout des trois ans, l’hébergeur agréé souhaite continuer son activité d’hébergement, il doit effectuer une demande de renouvellement qui sera évaluée de la même manière que la première.

La nouvelle procédure

Le nouveau procédé de certification a été défini par la DSSIS (Délégation à la Stratégie des Systèmes d’Information de Santé) et l’ASIP, puis, validé par un ensemble de représentants institutionnels (Ministère de la Santé, CNIL, …) et industriels. Le nouveau processus repose sur une évaluation de la conformité d’un hébergeur à la certification de référence basée sur les exigences de plusieurs normes ISO :

  • ISO 27001 « système de gestion de la sécurité des systèmes d’information »
  • ISO 20000 « système de gestion de la qualité des services »
  • ISO 27018 « protection des données à caractère personnel »

Et également d’autres exigences spécifiques à l’hébergement de données de santé. Les certificats seront délivrés par un organisme certificateur accrédité par le COFRAC (Comité français d’accréditation) choisi par l’hébergeur.   Deux types de certificats pourront être délivrés :

– Hébergeur d’infrastructure physique (Activité matérielle)

– Hébergeur infogéreur (Activité virtuelle)

La nouvelle procédure de certification se basera sur deux audits. Un premier, dit « audit documentaire » où l’organisme certificateur vérifiera la bonne conformité du système d’information du candidat aux normes énoncées plus haut.  Un second, dit « audit sur site », où l’organisme certificateur s’assurera que le candidat respecte les conformités techniques et organisationnelles requises pour héberger des données de santé. Si le candidat n’est pas conforme aux normes établies, il dispose de trois mois, après la fin de l’audit sur site, pour ajuster les éventuelles non-conformités et les faire re-auditer par l’organisme certificateur. Tout comme l’ancienne procédure, le certificat sera valide pour une période de 3 ans, cependant, un audit de surveillance sera réalisé tous les ans par l’organisme certificateur.

Cette nouvelle procédure aura donc pour objectifs d’inscrire la démarche dans une procédure bien connue du monde industriel (notamment la certification ISO 27001) et d’accroître la fiabilité du contrôle des exigences par des audits sur site.

 

https://www.cnil.fr/sites/default/files/typo/document/procedure_hebergeurs_sante.pdf

http://www.dsih.fr/article/2483/hebergement-de-donnees-de-sante-ce-qui-va-changer.htmlhttp://

www.dsih.fr/article/2758/certification-hebergement-donnees-de-sante-un-nouveau-modele-pour-les-infogereurs.html

http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

Laisser un commentaire