Hébergement de
données de santé
Dossiers de demande de
renouvellement
Jeanne BOSSI
Philippe BICLET
Jean-François PARGUET
1...
Article R 1111-15 du code de la santé publique
« L'agrément est délivré aux hébergeurs de données de santé à caractère
per...
Article R 1111-12 du code de la santé publique
« Le dossier de demande d'agrément comprend les éléments suivants:
1° L'ide...
Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions d...
Eléments sur le déroulement de la procédure
Conformément au décret 2006-6 du 4 janvier 2006, les dossiers de
demande de re...
Eléments sur le déroulement de la procédure
Modalités d’instruction
Les dossiers sont instruits sur le fondement des docu...
Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions d...
Appréciation des éléments du dossier de
demande de renouvellement
 Ce que demande le décret
L’article R 1111-15 du code d...
Appréciation des éléments du dossier de
demande de renouvellement
 Ce que demande le décret
1- Les informations financièr...
Appréciation des éléments du dossier de
demande de renouvellement
 Ce que demande le décret
2- Evolution et modifications...
Appréciation des éléments du dossier de
demande de renouvellement
 Ce que demande le décret
2- Evolution et modifications...
Appréciation des éléments du dossier de
demande de renouvellement
 Ce que demande le décret
3- Le rapport d’audit externe...
Appréciation des éléments du dossier de
demande de renouvellement
 Ce que demande le décret
3- Le rapport d’audit externe...
Appréciation des éléments du dossier de
demande de renouvellement
 Recommandations du ministre
 Les décisions favorables...
Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions d...
Les évolutions du cadre de l’hébergement
Evolution du cadre juridique
• L’hébergeur doit apporter à son service d’héberge...
Les évolutions du cadre de l’hébergement
Evolution de la doctrine du CAH
• Renforcement du contrôle du CAH dû à la présen...
Evolutions de l’activité d’hébergement
Evolution des technologies
• Obligation d’assurer une veille technologique, afin d...
Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions d...
Merci
13 Septembre 2013 20Demande de renouvellement
Prochain SlideShare
Chargement dans…5
×

2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande de renouvellement"

2 584 vues

Publié le

Publié dans : Santé & Médecine
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 584
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 118
Actions
Partages
0
Téléchargements
48
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande de renouvellement"

  1. 1. Hébergement de données de santé Dossiers de demande de renouvellement Jeanne BOSSI Philippe BICLET Jean-François PARGUET 13 Septembre 2013
  2. 2. Article R 1111-15 du code de la santé publique « L'agrément est délivré aux hébergeurs de données de santé à caractère personnel sur support informatique pour une durée de trois ans. La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de l’article R 1111-12 et un récapitulatif des modifications intervenues depuis la dernière demande d'agrément en ce qui concerne les autres documents mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l’article R 1111-14. Elle est instruite selon la même procédure que celle applicable à la demande initiale. Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont publiées au Bulletin officiel du ministère de la santé. ». 13 Septembre 2013Demande de renouvellement 2
  3. 3. Article R 1111-12 du code de la santé publique « Le dossier de demande d'agrément comprend les éléments suivants: 1° L'identité et l'adresse du responsable du service d'hébergement et, le cas échéant, de son représentant ; pour les personnes morales, les statuts sont produits ; 2° Les noms, fonctions et qualifications des opérateurs chargés de mettre en œuvre le service, ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données hébergées ; 3° L'indication des lieux dans lesquels sera réalisé l'hébergement ; 4° Une description du service proposé ; 5° Les modèles de contrats devant être conclus, en application du deuxième alinéa de l'article L. 1111- 8, entre l'hébergeur de données de santé et les personnes physiques ou morales qui sont à l'origine du dépôt des données de santé à caractère personnel ; ces modèles sont établis conformément aux dispositions de l'article R. 1111-13 ; 6° Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par la loi, notamment la présentation de la politique de confidentialité et de sécurité prévue au 2° de l'article R. 1111-9 ; 7° Le cas échéant, l'indication du recours à des prestataires techniques externes et les contrats conclus avec eux ; 8° Un document présentant les comptes prévisionnels de l'activité d'hébergement et, éventuellement, les trois derniers bilans et la composition de l'actionnariat du demandeur, ainsi que, dans le cas d'une demande de renouvellement, les comptes de résultat et bilans liés à cette activité d'hébergement depuis le dernier agrément. L'hébergeur déjà agréé informe sans délai le ministre chargé de la santé de tout changement affectant les informations mentionnées ci-dessus et de toute interruption,temporaire ou définitive,de son activité. » 3
  4. 4. Eléments sur le déroulement de la procédure Appréciation des éléments du dossier de demande de renouvellement Evolutions du cadre de l’hébergement Questions/Point d’actualité 13 Septembre 2013 4Demande de renouvellement
  5. 5. Eléments sur le déroulement de la procédure Conformément au décret 2006-6 du 4 janvier 2006, les dossiers de demande de renouvellement sont instruits selon la même procédure que les demandes initiales : Avis de la CNIL, puis avis du CAH et décision du ministre en charge de la santé. Le renouvellement d’agrément n’est donc pas automatique. La CNIL, le CAH et le ministre en charge de la santé apprécient la demande de renouvellement. 13 Septembre 2013Demande de renouvellement 5 Dépôt de demande d’agrément 1ère Année 2 mois Auto- évaluation 2ème Année 3ème Année 2 mois 6 mois Auto- évaluation Demande Renouvellement Renouvellement Non Renouvellement Agrément
  6. 6. Eléments sur le déroulement de la procédure Modalités d’instruction Les dossiers sont instruits sur le fondement des documents exigés par le décret, de la prise en compte par l’hébergeur des recommandations qui accompagnaient la décision d’agrément et de l’adaptation du service aux évolutions de la doctrine et de l’état de l’art. Instruction des dossiers par la CNIL et le CAH : délais et communication des avis de la CNIL Décision du CAH de surseoir à statuer sur certains dossiers de demande de renouvellement Rapport d’activité du CAH et mise à jour de la FAQ 13 Septembre 2013Demande de renouvellement 6
  7. 7. Eléments sur le déroulement de la procédure Appréciation des éléments du dossier de demande de renouvellement Evolutions du cadre de l’hébergement Questions/Point d’actualité 13 Septembre 2013 7Demande de renouvellement
  8. 8. Appréciation des éléments du dossier de demande de renouvellement  Ce que demande le décret L’article R 1111-15 du code de la santé publique liste les éléments que doivent contenir les dossiers de demande de renouvellement d’agrément: 1. la mise à jour des données financières et comptables ; 2. la liste des modifications apportées depuis l’agrément initial ; 3. un rapport d’audit externe de sécurité. Un premier examen de la complétude des dossiers est donc réalisé. Afin d’accompagner les hébergeurs dans l’élaboration de leur dossier de demande de renouvellement, un formulaire a été publié et permet aux hébergeurs de s’assurer de la complétude de leur dossier. 13 septembre 2013 Demande de renouvellement 8
  9. 9. Appréciation des éléments du dossier de demande de renouvellement  Ce que demande le décret 1- Les informations financières et comptables L’article R 1111-15 du code de la santé publique précise que le dossier de demande de renouvellement doit comporter les éléments financiers visés à l’article R 1111-12 8°: « les comptes prévisionnels de l'activité d'hébergement et, éventuellement, les trois derniers bilans et la composition de l'actionnariat du demandeur, ainsi que, dans le cas d'une demande de renouvellement, les comptes de résultat et bilans liés à cette activité d'hébergement depuis le dernier agrément. » • Le CAH doit apprécier les garanties d’ordre financier et économique offertes par le candidat. • Le CAH doit s’assurer de la pérennité de la société  capacité à garantir la disponibilité et la pérennité des données de santé. 13 Septembre 2013Demande de renouvellement 9
  10. 10. Appréciation des éléments du dossier de demande de renouvellement  Ce que demande le décret 2- Evolution et modifications apportées au service d’hébergement depuis l’agrément initial L’article R 1111-15 du code de la santé publique dispose que le dossier de demande de renouvellement doit comporter « un récapitulatif des modifications intervenues depuis la dernière demande d’agrément en ce qui concerne les autres documents mentionnés à [l’article R 1111-12]. » • Nécessité pour l’hébergeur de présenter les évolutions apportées sur le service agréé ayant un impact sur les éléments mentionnées à l’article R 1111-12. Exemples: modifications des statuts, recours à un nouveau sous-traitant, nouveau site dans lequel sera réalisé l’hébergement, nouvelle disposition de sécurité mise en œuvre, etc. 13 Septembre 2013Demande de renouvellement 10
  11. 11. Appréciation des éléments du dossier de demande de renouvellement  Ce que demande le décret 2- Evolution et modifications apportées au service d’hébergement depuis l’agrément initial Les évolutions et modifications apportées au service d’hébergement de données de santé ne peuvent modifier substantiellement le périmètre du service agréé et par voie de conséquence constituer un avenant au contrat d’hébergement. • Exemples d’évolutions modifiant le périmètre de la prestation exigeant une nouvelle demande d’agrément  Hébergeur agréé pour un service où il infogère l’ensemble du système, mais souhaitant proposer ce même service en confiant au client une partie de l’infogérance du service.  Hébergeur agréé pour l’hébergement d’une application nominativement désignée, mais souhaitant héberger dans les mêmes conditions techniques toute application fournie par les clients et gérant des données de santé à caractère personnel (demandes génériques). 13 Septembre 2013Demande de renouvellement 11
  12. 12. Appréciation des éléments du dossier de demande de renouvellement  Ce que demande le décret 3- Le rapport d’audit externe Conformément à l’article R 1111-15 du code de la santé publique, la demande de renouvellement doit comprendre « un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l’article R 1111- 14. …. ». • Cet audit doit couvrir les exigences du décret et analyser le degré de conformité des moyens mis en œuvre par l’hébergeur au regard de ces exigences. Il ne suffit donc pas de se limiter à analyser la conformité des moyens mis en œuvre par l’hébergeur au regard de ce qu’il a déclaré dans son dossier de demande d’agrément initial. En outre, la conformité doit aussi être évaluée eu égard aux évolutions de l’état de l’art ayant pu émerger depuis la demande d’agrément initiale. • L’audit doit également prendre en compte les recommandations qui accompagnaient la décision d’agrément et indiquer ce qui a ou non été mis en place par l’hébergeur pour les respecter. 13 Septembre 2013Demande de renouvellement 12
  13. 13. Appréciation des éléments du dossier de demande de renouvellement  Ce que demande le décret 3- Le rapport d’audit externe • Afin d’accompagner les hébergeurs dans la conduite de l’audit externe, l’ASIP Santé a ajouté une nouvelle question dans sa FAQ et propose un exemple de scénario d’audit portant sur la conformité des moyens techniques mis en œuvre par l’hébergeur aux exigences du décret 2006-6 du 4 janvier 2006. Ce document constitue un simple canevas qui répertorie l’ensemble des exigences énoncées dans le formulaire P6 et prises en compte, toutes ou parties par l’hébergeur lui-même ou par des tiers en fonction des reports de responsabilité qu’il a déclarés. Comme le décret 2006-6 du 4 janvier 2006 n’évoque ni la qualité, ni la nature de l’auditeur externe auquel l’hébergeur doit recourir, la nouvelle question de la FAQ précise que l’hébergeur pourra faire appel à un auditeur qualifié par l’ANSSI. 13 Septembre 2013Demande de renouvellement 13
  14. 14. Appréciation des éléments du dossier de demande de renouvellement  Recommandations du ministre  Les décisions favorables d’agrément délivrées par le ministre en charge de la santé sont accompagnées de recommandations.  Lors de l’analyse d’un dossier de demande de renouvellement, le CAH vérifie si l’hébergeur a tenu compte de ces recommandations et s’assure des moyens mis en œuvre pour y répondre.  Le CAH apprécie bien sûr la nature des recommandations émises au regard des évolutions du cadre de l’hébergement. 13 Septembre 2013Demande de renouvellement 14
  15. 15. Eléments sur le déroulement de la procédure Appréciation des éléments du dossier de demande de renouvellement Evolutions du cadre de l’hébergement Questions/Point d’actualité 13 Septembre 2013 15Demande de renouvellement
  16. 16. Les évolutions du cadre de l’hébergement Evolution du cadre juridique • L’hébergeur doit apporter à son service d’hébergement les modifications nécessaires pour respecter le cadre juridique. • Nécessité d’assurer une veille juridique. Exemple :  Dispositions de l’article L 1110-4 du code de la santé publique modifiées par la loi « HPST » du 21 juillet 2009 : obligations pour les professionnels de santé d’utiliser une carte CPS ou tout autre dispositif équivalent.  Systèmes de messageries sécurisées de santé : dispense de recueil du consentement. 13 Septembre 2013Demande de renouvellement 16
  17. 17. Les évolutions du cadre de l’hébergement Evolution de la doctrine du CAH • Renforcement du contrôle du CAH dû à la présentation de prestations génériques  Tout report d’obligation du décret, sur le client, doit être couvert contractuellement et accompagné d’un réel devoir de conseil.  Désigner les sous-traitants et joindre les contrats de sous-traitance.  Délimiter clairement le périmètre de la prestation d’hébergement et ne pas proposer une prestation de type « catalogue de services ». • Mise à jour de la FAQ afin de transmettre l’information aux hébergeurs et plus largement au grand public. 13 Septembre 2013Demande de renouvellement 17
  18. 18. Evolutions de l’activité d’hébergement Evolution des technologies • Obligation d’assurer une veille technologique, afin de garantir le respect de l’état de l’art. • Travaux de la PGSSI-S Exemples:  Evolution de la robustesse des mots de passe administrateurs.  Prendre en compte la gestion des changements dans les processus, procédures et mécanismes décrits.  Chiffrement des supports de sauvegardes externalisés. 13 Septembre 2013Demande de renouvellement 18
  19. 19. Eléments sur le déroulement de la procédure Appréciation des éléments du dossier de demande de renouvellement Evolutions du cadre de l’hébergement Questions/Point d’actualité 13 Septembre 2013 19Demande de renouvellement
  20. 20. Merci 13 Septembre 2013 20Demande de renouvellement

×