Webinar pour tout comprendre sur la sauvegarde de données de santé :
- La réglementation
- Les points de vigilance dans le choix d'une solution
- Les typologies de solutions
4. Données de santé à caractère personnel : Toute donnée
relative à une personne physique, identifiée ou qui peut être
identifiée de manière directe ou indirecte, recueillie ou produite à
l'occasion des activités de prévention, de diagnostic ou de soin
Définitions
Hébergement de données de santé: stockage durable de
données de santé à caractère personnel. Dès lors qu'il est
externalisé, cet hébergement doit être réalisé par un hébergeur
agréé à cet effet par le ministère de la santé.
L'hébergement de données de santé implique également la
gestion de données à caractère personnel. Cette activité est
donc soumise au respect de la loi informatique et libertés sous
l'autorité de la CNIL.
5. L'agrément du prestataire d'hébergement vise à justifier sa
conformité aux exigences légales :
- éthique et droit des patients
- sécurité élevée des données
Cet agrément est délivré par l'ASIP santé aprés instruction d'un
dossier technique. Il est valable 3 ans.
L'agrément HDS
6. Les acteurs de la chaîne d'hébergement
de données de santé
Le Patient
Le Déposant : Professionnel de santé ou établissement de santé.
Responsable des traitements. Producteur des données.
Le(s) Revendeur / intermédiaire : Intermediaire technique / assistance
L'Hébergeur agréé HDS : Entité qui héberge physiquement les
données.
Médecin de l'hébergeur : Garant auprés de l'hébergeur des droits des
patients.
7. Les acteurs de la chaîne d'hébergement
de données de santé
8. Les obligations des acteurs.
Information préalable des patients.
Le patient doit être informé quant à l'hébergement de ses données de
santé, et des modalités d'accès et de transmission. Il peut s'y opposer.
L'ASIP édite un modèle de notice d'information.
http://esante.gouv.fr/services/note-d-information-des-usagers-relative-au-consentement-
a-l-hebergement-de-donnees-de-sante
Recueil du consentement et information à faire par le Déposant
9. Les obligations des acteurs.
Droit d'accès aux données.
Les acteurs de la chaîne doivent s'assurer que le déposant aménage
des modalités d'accès aux patients.
- Directement par le patient auprès du déposant.
- Par l'intermédiaire d'un médecin désigné par le patient
- Directement auprès du médecin de l'hébergeur de santé.
L'historique des accès à ces données est également concerné.
Le droit d'accès est à la charge du Déposant
10. Les obligations des acteurs.
Sécurité des données.
● Politique de confidentialité et de sécurité
● Sensibilisation et formation du personnel
La sécurité des données est à la charge de tous les acteurs.
11. Les obligations des acteurs.
PCA et PRA.
● L'hébergement de données de santé impose la
réplication des données en des lieux distincts.
La sécurité des données est à la charge de tous les acteurs.
12. La sauvegarde de données de santé.
Un guide édité par l'ASIP
http://esante.gouv.fr/sites/default/files/pgssi_gu
ide_regles_sauvegarde_v1.0.pdf
● La sauvegarde doit obligatoirement être faite chez un
Hébergeur Agréé Santé.
● La sécurité des sauvegardes doit être au moins
équivalente à la sécurité des données sources
14. La sauvegarde de données de santé.
Chiffrage des données en transit et en stockage.
Gestion correcte des clefs de chiffrement.
Utilisation d'algorythme recommandé par l'ANSSI
15. La sauvegarde de données de santé.
Surveillance et supervision
Vérifier l'efficience du système de sauvegarde.
Effectuer régulièrement des tests de restauration et de
reprise d'activité.
16. La sauvegarde de données de santé.
Authentification forte des opérateurs lors de
restauration
La sauvegarde contient l'ensemble des données du
système.
Principe de l'authentification à double facteur.
● Quelque chose que je sais et quelque chose que j'ai.
● Quelque chose que je sais et Quelque chose que je
suis
17. La sauvegarde de données de santé.
Application robuste.
L'application de sauvegarde doit avoir été développée
selon les règles de l'art en matière de sécurité.
● Audit de sécurité
● Analyse statique du code
● Suivi des recommandations OWASP
19. Les solutions locales
Sauvegarde sur support externe.
Les supports doivent rester au sein de l'établissement de
santé.
Difficulté de réalisation effective
Suivi et sécurité faible.
20. Les solutions externe non HDS
Sauvegarde classique externalisée.
Duplication au domicile du praticien
Utilisation d'une solution de cloud
Copies FTP / Email
Aucune de ces solutions ne respecte la réglementation
Sanction prévue : trois ans d'emprisonnement et 45 000
euros d'amende.
21. Les solutions de backup externalisée HDS
Sauvegarde sur support externe.
Les sauvegardes sont externalisées chez un hébergeur
agréé HDS.
Procedure bien définie et fiabilité
Respect des normes
Traçabilité et surveillance
22. Zoom sur kiwi backup
En savoir plus sur la sauvegarde de données
23. Incrémental octet
Les octets
modifiés
Les octets
modifiés Stockage des
incréments pour
créer l’historique
Stockage des
incréments pour
créer l’historique
Modif
3
321Modif
2
Modif
1
Chez Kiwi backup, le volume pris en
considération est le volume mesurable sur le
poste de votre client et non le volume utilisé
sur nos serveurs.
Chez Kiwi backup, le volume pris en
considération est le volume mesurable sur le
poste de votre client et non le volume utilisé
sur nos serveurs.
1 Go1 Go
1 Go1 Go
…
90
Schéma non contractuel
24. La déduplication à la source
Un même fichier n’est stocké
qu’une fois pour toute
l’entreprise, même s’il est
renommé !
Un même fichier n’est stocké
qu’une fois pour toute
l’entreprise, même s’il est
renommé !
Serveurs
kiwi
Schéma non contractuel