Agrément de l'hébergeur de données
- Cadre juridique
- Procédure
- Les cas pratiques en LBM
François Macary – ASIP Santé
1...
GUIDE TECHNIQUE D'ACCREDITATION
POUR L’EVALUATION DES SYSTEMES
INFORMATIQUES EN BIOLOGIE MEDICALE
SH GTA 02

Chapitre 6.2....
Le cadre légal et réglementaire
Objectif : organiser le dépôt et la conservation des données de
santé dans des conditions ...
Le champ d'application
Toute personne physique ou morale hébergeant des données de santé
à caractère personnel recueillies...
Le respect du droit des personnes
Dès lors que l'hébergement des données est lié à un
objectif de mise en partage, le cons...
Contractualisation de l'hébergement
L'hébergeur doit établir un contrat avec le déposant (établissement de
santé, professi...
Déroulement de la procédure d’agrément
L’agrément
est délivré
pour une
durée de 3
ans, par le
ministre
chargé
de la
santé,...
Site de l'ASIP Santé : www.esante.gouv.fr
Le référentiel de constitution de dossier :


six formulaires standards (P1, P2...
Les cas pratiques pour un LBM
L'entité examinée dans les cas pratiques est le LBM
(CSP L 6212-*).
Ces cas pratiques sont i...
Cas 1 : Données conservées en local

Un LBM qui conserve
par ses propres moyens
les données de santé
des patients pour
les...
Cas 2 : LBM sous-traitant
LBM
demandeur

LBM sous-traitant

SIL

MW

Un LBM qui réalise des
examens de biologie
médicale e...
Cas 3 : Base de données externalisée
Hébergeur agréé

LBM

Lorsqu’un LBM souhaite
confier l’hébergement des
données de san...
Cas 4 : Mise sous pli des comptes rendus
Prestataire de mise sous pli

CR

LBM

L'externalisation de l'activité
de mise so...
Cas 5 : SIL mutualisé entre deux LBM

Le LBM A héberge le SIL commun.
Si le LBM A n'intervient dans aucune des phases de l...
Cas 6 : Serveur de résultats
mutualisé entre deux LBM
LBM

LBM
SIL

Résultats
et CR

SIL

Serveur de
résultats mutualisé
S...
Merci.
François Macary – ASIP Santé
Congrès SFIL, 15 mai 2013
Prochain SlideShare
Chargement dans…5
×

2013-05 SFIL "Hébergement des données – Obligations, modalités d’application du décret et organismes de contrôle"

953 vues

Publié le

Hébergement des données – Obligations, modalités d’application du décret et organismes de contrôle présenté par François Macary (ASIP Santé) lors du Congrès de Vittel des 14 au 16 mai 2013 organisé par la SFIL

Publié dans : Santé & Médecine
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
953
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
16
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2013-05 SFIL "Hébergement des données – Obligations, modalités d’application du décret et organismes de contrôle"

  1. 1. Agrément de l'hébergeur de données - Cadre juridique - Procédure - Les cas pratiques en LBM François Macary – ASIP Santé 15 mai 2013
  2. 2. GUIDE TECHNIQUE D'ACCREDITATION POUR L’EVALUATION DES SYSTEMES INFORMATIQUES EN BIOLOGIE MEDICALE SH GTA 02 Chapitre 6.2.5 "Agrément de l'hébergeur des données" Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 2
  3. 3. Le cadre légal et réglementaire Objectif : organiser le dépôt et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité, les mettre à la disposition des personnes autorisées selon des modalités définies par contrat, et les restituer en fin de contrat.  article L 1111-8 du Code de la Santé Publique  articles R 1111-9 à R 1111-15-1 du CSP (décret 2006-6 du 4 janvier 2006) Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 3
  4. 4. Le champ d'application Toute personne physique ou morale hébergeant des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins pour le compte d’un tiers, doit être agréée comme hébergeur de données de santé à caractère personnel.  Une entité est soumise à l’obligation d’être hébergeur agréé dès lors qu'elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale.  Un établissement de santé ou un professionnel de santé n’est pas soumis à l’agrément pour les données de santé des patients pour lesquels il intervient dans des activités de prévention, de diagnostic ou de soins. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 4
  5. 5. Le respect du droit des personnes Dès lors que l'hébergement des données est lié à un objectif de mise en partage, le consentement exprès du patient est requis. Si l'accès aux données hébergées est limité au seul établissement de santé ou professionnel de santé qui les a déposées, ainsi qu'au patient (CSP L 1111-7), le consentement exprès n'est pas exigé. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 5
  6. 6. Contractualisation de l'hébergement L'hébergeur doit établir un contrat avec le déposant (établissement de santé, professionnel de santé ou la personne concernée par les données). L'hébergeur peut répondre lui-même à l'ensemble des obligations de l’activité d’hébergeur de données de santé. Il peut aussi choisir de reporter la couverture de certaines d’entre-elles :  sur ses clients par des clauses contractuelles spécifiques ;  ou sur ses sous-traitants au travers des termes des contrats qu’il passe avec ces derniers. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 6
  7. 7. Déroulement de la procédure d’agrément L’agrément est délivré pour une durée de 3 ans, par le ministre chargé de la santé, après avis motivé du comité d'agrément et avis de la CNIL. Candidat Ministère de la santé Envoi du dossier de demande CNIL Comité d’agrément Transmission du dossier pour analyse Transmission du dossier pour analyse Mise à disposition rapport et synthèse Cible : 3 mois ( max 4 mois ) ASIP Santé < 2 mois Transmission rapport et synthèse Communication de l’avis CNIL Cible : 1 mois ( max 2 mois ) Cible : 1 mois ( max 2 mois ) Transmission de l’avis motivé Réponse demande d’agrément 7
  8. 8. Site de l'ASIP Santé : www.esante.gouv.fr Le référentiel de constitution de dossier :  six formulaires standards (P1, P2, P3, P4, P5, P6) à renseigner par le candidat, couvrant l'ensemble du recueil d'informations exigées ;  deux formulaires d’engagement (C1, C2) à signer par le candidat ;  un guide détaillé pour assister les candidats ;  une FAQ enrichie régulièrement. La liste des hébergeurs agréés (48 décisions d'agrément rendues en date du 25/04/13) : http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 8
  9. 9. Les cas pratiques pour un LBM L'entité examinée dans les cas pratiques est le LBM (CSP L 6212-*). Ces cas pratiques sont indépendants :  de la forme juridique du LBM (CSP L 6223-*),  du cadre d'exercice (privé ou public) du LBM,  de la répartition LBM / établissement de santé (CSP L 6222-4),  du nombre de sites que comprend le LBM. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 9
  10. 10. Cas 1 : Données conservées en local Un LBM qui conserve par ses propres moyens les données de santé des patients pour lesquels il réalise des examens n’est pas soumis à l’agrément. LBM SIL MW Plateau technique Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 10
  11. 11. Cas 2 : LBM sous-traitant LBM demandeur LBM sous-traitant SIL MW Un LBM qui réalise des examens de biologie médicale en sous-traitance pour un autre LBM, est tenu de conserver pour son propre compte les données des patients concernés. Il n'est donc pas à ce titre un hébergeur. Plateau technique Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 11
  12. 12. Cas 3 : Base de données externalisée Hébergeur agréé LBM Lorsqu’un LBM souhaite confier l’hébergement des données de santé des patients qu’il prend en charge à un prestataire tiers, le LBM est tenu de faire appel à un hébergeur agréé à cet effet. Exemples :  SIL externalisé en SaaS  Location d'espace de stockage numérique  Serveur de résultats hébergé par un prestataire tiers Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 12
  13. 13. Cas 4 : Mise sous pli des comptes rendus Prestataire de mise sous pli CR LBM L'externalisation de l'activité de mise sous pli des comptes rendus en tant que telle n’entraine pas l’obligation d’agrément du prestataire. Le LBM porte cependant une attention particulière à la confidentialité des échanges. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 13
  14. 14. Cas 5 : SIL mutualisé entre deux LBM Le LBM A héberge le SIL commun. Si le LBM A n'intervient dans aucune des phases de l'examen de biologie médicale pour au moins certains des patients du LBM B, alors A joue le rôle d’hébergeur pour le compte de B et doit être agréé à cet effet, et un contrat d’hébergement de données de santé doit être conclu entre les deux LBM. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 14
  15. 15. Cas 6 : Serveur de résultats mutualisé entre deux LBM LBM LBM SIL Résultats et CR SIL Serveur de résultats mutualisé Si ce serveur de résultat ne recueille que des résultats de patients communs et donc pris en charge par les deux LBM, le LBM qui héberge le serveur de résultat n’est pas soumis à l’agrément. En revanche, si ce serveur a vocation à contenir des données de patients qui ne sont pas pris en commun par les deux LBM, le LBM qui héberge le serveur doit être agréé pour l’hébergement et un contrat d'hébergement doit être passé entre les deux LBM. Congrès SFIL - 15 mai 2013 - Agrément des Hébergeurs de Données de Santé 15
  16. 16. Merci. François Macary – ASIP Santé Congrès SFIL, 15 mai 2013

×