SlideShare une entreprise Scribd logo

HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de santé (HDS)

ASIP Santé
ASIP Santé

Atelier N°7 Certification Hébergement des données de santé (HDS) par Kahina HADDAD et Frédéric LAW-DUNE, ASIP Santé

Santé & Médecine
1  sur  14
Télécharger pour lire hors ligne
Evolution de la procédure d’agrément des hébergeurs de données de santé Kahina HADDAD Frédéric LAW-DUNE
2 L’encadrement de l’activité d’hébergement de données de santé, modifié par l’ordonnance du 12 janvier 2017 Définition de la procédure de certification pour l’hébergement de données de santé sur support numérique Deux certificats pour deux métiers d’hébergement distincts Le choix du périmètre de la certification La procédure de certification et son référentiel La procédure de certification et les équivalences L’entrée en vigueur de la procédure de certification et la transition avec la procédure d’agrément Sommaire
L’encadrement des activités d’hébergement de données de santé modifié par l’ordonnance du 12 janvier 2017 3 Ordonnance n° 2017-27 du 12 janvier relative à l’hébergement de données de santé Le champ d’application Toute personne qui héberge pour le compte d’un tiers des données de santé à caractère personnel collectées à l’occasion d’activités de prévention, de diagnostic ou de soins La prise en compte des droits des personnes Nécessité d’informer la personne concernée : • de l’hébergement de ses données de santé par un hébergeur; • de son droit de s’y opposer pour motif légitime; L’encadrement de la prestation d’hébergement par un contrat Contrat qui doit définir le service d’hébergement de données de santé objet du contrat, les modalités de fournitures du services, l’encadrement des accès aux données de santé, les droits des personnes concernées, etc.
L’encadrement des activités d’hébergement de données de santé modifié par l’ordonnance du 12 janvier 2017 4 Les trois grandes catégories de services d’hébergement de données de santé L’hébergement de données de santé sur support numérique L’hébergement de données de santé sur support papier L’hébergement de données de santé dans le cadre d’un service d’archivage électronique Procédure de certification définie par un décret … à venir Elle remplace la procédure d’agrément Procédure d’agrément définie par le décret 2011-246  Compétence ministre de la culture Procédure d’agrément, définie par un décret … à venir Agrément qui pourra s’appuyer sur un certificat de conformité déjà délivré  Compétence ministre de la culture
Définition de la procédure de certification pour l’hébergement de données de santé sur support numérique 5 • Un décret en Conseil d’Etat pris après avis de la CNIL et des ordres des professions de santé … …définit: • Le périmètre des activités d’hébergement soumises à certification; • Les modalités de délivrance du certificat de conformité : • le certificat de conformité est délivré par un organisme de certification accrédité par le COFRAC ( ou équivalent au niveau européen); • les référentiels de certification et d’accréditation seront pris par arrêté du ministre chargé de la Santé; • Les clauses obligatoires que devra comporter tout contrat d’hébergement de données de santé; …désigne : • L’ASIP Santé comme organisme chargé d’assurer le suivi de la procédure de certification; … organise: • La phase transitoire entre l’agrément et la certification
Définition de la procédure de certification des hébergeurs de données de santé sur support numérique DSSIS (Délégation à la stratégie des systèmes d’information de santé) Définition du nouveau dispositif Validation du nouveau dispositif par un comité de pilotage • Représentants institutionnels : directions du ministère de la Santé, ANSSI, CNIL, fédérations hospitalières, Ordres, etc. • Représentants d’industriels AFHADS, ASINHPA, FEIMA, LESSIS, SNITEM et SYNTEC numérique ASIP Santé 6
Deux certificats pour deux métiers d’hébergement distincts 7 2. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure matérielle du système d’information de santé 1. Mise à disposition ou maintien en condition opérationnelle de locaux permettant d’héberger l’infrastructure matérielle du système d’information de santé Hébergeur d’infrastructure physique 3. Mise à disposition ou maintien en condition opérationnelle de la plateforme logicielle (système d’exploitation, middleware, base de données, etc.) du système d’information de santé 4. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé 5. Infogérance d’exploitation du système d’information de santé 6. Sauvegardes externalisées des données de santé Hébergeur infogéreur
Le choix du périmètre de la certification 8  Lorsque le périmètre d’activités comprend exclusivement une ou plusieurs activités parmi les activités numérotées de 1 à 2, il est évalué pour la conformité aux exigences s’appliquant aux hébergeurs d’infrastructure physique. La certification obtenue est dénommée certification « hébergeur d’infrastructure physique ».  Lorsque le périmètre d’activités comprend exclusivement une ou plusieurs activités parmi les activités numérotées de 3 à 6, il est évalué pour la conformité aux exigences s’appliquant aux hébergeurs infogéreurs. La certification obtenue est dénommée certification « hébergeur infogéreur ».  Lorsque le périmètre comprend au moins une activité de chacun de ces périmètres, il est évalué pour la conformité à toutes les exigences et obtient les deux certifications. Un hébergeur souhaitant obtenir une certification pour l’hébergement de données de santé doit identifier les activités concernées par sa demande
La procédure de certification et son référentiel 9  La procédure de certification se fonde sur le processus standard de type système de management décrit dans la norme ISO 17021 et précisé dans la norme ISO 27006 :  l’hébergeur choisit un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) ;  l’organisme certificateur vérifie l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur ;  un audit en deux étapes conformes aux normes en vigueur est alors effectué : L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification. Audit documentaire Etape 1 Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation basé sur les normes l’ISO 17021 et ISO 27006. L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur. Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être recommencé. Audit sur siteEtape 2
La procédure de certification et son référentiel 10  Le référentiel de certification est composé de  la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information »,  d’exigences de la norme ISO 20000 « système de gestion de la qualité des services»,  d’exigences de la norme ISO 27018 « protection des données à caractère personnel »  d’une exigence de la norme ISO 27017 « Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage »  et d’exigences spécifiques à l’hébergement de données de santé.  Une dimension internationale  La certification HDS pourra être délivrée par tout organisme certificateur accrédité par un organisme d’accréditation européen signataire des accords de reconnaissance EA/IAF. Le détail des exigences pour les certifications d’hébergeur d’infrastructure physique et d’hébergeur infogéreur seront prochainement mis à disposition sur le site de l’ASIP Santé, esante.gouv.fr
La procédure de certification et son référentiel 11 • Pour obtenir une certification HDS, un candidat doit : Être certifié ISO 27001 Être évalué sur sa conformité aux exigences issues des normes (20000, 27017, 27018) et des exigences spécifiques • Validité du certificat Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur Un audit de surveillance annuel est effectué par l’organisme certificateur 3 ans 1 an
La procédure de certification et les équivalences 12  Des certifications ISO 27001 et ISO 20000 déjà obtenues par un hébergeur peuvent être reconnues équivalentes lorsque : le périmètre de la certification dont dispose l’hébergeur inclut le périmètre pour lequel le candidat demande une certification HDS ; les certifications sont en cours de validité (ne font pas l’objet de suspension, transfert ou rectification) et ont été délivrées par des organismes certificateurs accrédités par le COFRAC ou équivalent européen ; De plus, les rapports d’audits (audit initial et audits de surveillance) doivent être remis, à sa demande, à l’organisme de certification.  Les certifications ISO 27017 et ISO 27018 déjà obtenues par un hébergeur ne peuvent pas être reconnues équivalentes car elles sont émises hors accréditation.
L’entrée en vigueur de la procédure de certification et la transition avec la procédure d’agrément 13 S2 2017 S1 2018 1er janvier 2019 Entrée en vigueur de la certification HDS Décret HDS Toute nouvelle demande est traitée selon la procédure d’agrément actuelle Toute nouvelle demande est traitée selon la procédure de certification HDSNouvel hébergeur Hébergeur souhaitant renouveler son agrémentation Agrément valide pendant 3 ans Certification HDS Période pendant laquelle l’hébergeur peut continuer à fournir ses services Agrément arrivant à échéance moins d’un an après la date d’entrée en vigueur Agrément délivré avant la date d’entrée en vigueur Agrément arrivant à échéance
14 http://esante.gouv.fr Des questions ?

Recommandé

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
CA_Module_2.pdf
CA_Module_2.pdfCA_Module_2.pdf
CA_Module_2.pdfEhabRushdy1
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?Djallal BOUABDALLAH
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 

Recommandé

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
CA_Module_2.pdf
CA_Module_2.pdfCA_Module_2.pdf
CA_Module_2.pdfEhabRushdy1
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?Djallal BOUABDALLAH
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
Cissp exam outline 121417- final (2)
Cissp exam outline 121417- final (2)Cissp exam outline 121417- final (2)
Cissp exam outline 121417- final (2)Joshua Fonseca
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...Glenn Mallo
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
3. Security Engineering
3. Security Engineering3. Security Engineering
3. Security EngineeringSam Bowne
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
WIlfried K. AGBO- Exposé sur la Cryptographie
WIlfried K. AGBO- Exposé sur la CryptographieWIlfried K. AGBO- Exposé sur la Cryptographie
WIlfried K. AGBO- Exposé sur la CryptographieWilfreid AGBO
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
CA_Module_1.pptx
CA_Module_1.pptxCA_Module_1.pptx
CA_Module_1.pptxYazanSalileh
 
Expert FSO Insider Threat Awareness
Expert FSO Insider Threat AwarenessExpert FSO Insider Threat Awareness
Expert FSO Insider Threat AwarenessEric Schiowitz
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hdsASIP Santé
 
Certification des hébergeurs de données de santé
Certification des hébergeurs de données de santéCertification des hébergeurs de données de santé
Certification des hébergeurs de données de santéfkaag
 

Contenu connexe

Tendances

Cissp exam outline 121417- final (2)
Cissp exam outline 121417- final (2)Cissp exam outline 121417- final (2)
Cissp exam outline 121417- final (2)Joshua Fonseca
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...Glenn Mallo
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
3. Security Engineering
3. Security Engineering3. Security Engineering
3. Security EngineeringSam Bowne
 
WIlfried K. AGBO- Exposé sur la Cryptographie
WIlfried K. AGBO- Exposé sur la CryptographieWIlfried K. AGBO- Exposé sur la Cryptographie
WIlfried K. AGBO- Exposé sur la CryptographieWilfreid AGBO
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Expert FSO Insider Threat Awareness
Expert FSO Insider Threat AwarenessExpert FSO Insider Threat Awareness
Expert FSO Insider Threat AwarenessEric Schiowitz
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 

Tendances (20)

Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Cissp exam outline 121417- final (2)
Cissp exam outline 121417- final (2)Cissp exam outline 121417- final (2)
Cissp exam outline 121417- final (2)
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
By the Book CPO365 reference (Chapter18 BUPERSINST1610.10C) Performance Couns...
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
3. Security Engineering
3. Security Engineering3. Security Engineering
3. Security Engineering
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
WIlfried K. AGBO- Exposé sur la Cryptographie
WIlfried K. AGBO- Exposé sur la CryptographieWIlfried K. AGBO- Exposé sur la Cryptographie
WIlfried K. AGBO- Exposé sur la Cryptographie
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
CA_Module_1.pptx
CA_Module_1.pptxCA_Module_1.pptx
CA_Module_1.pptx
 
Expert FSO Insider Threat Awareness
Expert FSO Insider Threat AwarenessExpert FSO Insider Threat Awareness
Expert FSO Insider Threat Awareness
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 

Similaire à HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de santé (HDS)

20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hdsASIP Santé
 
Certification des hébergeurs de données de santé
Certification des hébergeurs de données de santéCertification des hébergeurs de données de santé
Certification des hébergeurs de données de santéfkaag
 
Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Alioune Ndongo
 
DPO : deux référentiels pour la certification du délégué à la protection des ...
DPO : deux référentiels pour la certification du délégué à la protection des ...DPO : deux référentiels pour la certification du délégué à la protection des ...
DPO : deux référentiels pour la certification du délégué à la protection des ...Société Tripalio
 
Support reglement donnees de sante
Support reglement donnees de santeSupport reglement donnees de sante
Support reglement donnees de santeKiwi Backup
 
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"ASIP Santé
 
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...ASIP Santé
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Mailjet
 
Mr Nepomiastchy H2AD EHealth
Mr Nepomiastchy H2AD EHealthMr Nepomiastchy H2AD EHealth
Mr Nepomiastchy H2AD EHealthIDATE DigiWorld
 
6 labellisation phn - florian catteau et jerome duvernois
6 labellisation phn - florian catteau et jerome duvernois6 labellisation phn - florian catteau et jerome duvernois
6 labellisation phn - florian catteau et jerome duvernoisASIP Santé
 
Sauvegarde de données de santé
Sauvegarde de données de santéSauvegarde de données de santé
Sauvegarde de données de santéKiwi Backup
 
2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...
2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...
2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...ASIP Santé
 
Certification qualité
Certification qualitéCertification qualité
Certification qualitéfattahrma
 
Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Hichem CHAIBI
 
2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...
2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...
2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...ASIP Santé
 
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...ASIP Santé
 
Certification et diagnostic certified maintenance
Certification et diagnostic certified maintenanceCertification et diagnostic certified maintenance
Certification et diagnostic certified maintenanceCertified Maintenance.org
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
10 programme hn, la labellisation des logiciels
10 programme hn, la labellisation des logiciels10 programme hn, la labellisation des logiciels
10 programme hn, la labellisation des logicielsASIP Santé
 

Similaire à HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de santé (HDS) (20)

20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hds
 
Certification des hébergeurs de données de santé
Certification des hébergeurs de données de santéCertification des hébergeurs de données de santé
Certification des hébergeurs de données de santé
 
Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015
 
DPO : deux référentiels pour la certification du délégué à la protection des ...
DPO : deux référentiels pour la certification du délégué à la protection des ...DPO : deux référentiels pour la certification du délégué à la protection des ...
DPO : deux référentiels pour la certification du délégué à la protection des ...
 
Support reglement donnees de sante
Support reglement donnees de santeSupport reglement donnees de sante
Support reglement donnees de sante
 
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
 
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
 
Mr Nepomiastchy H2AD EHealth
Mr Nepomiastchy H2AD EHealthMr Nepomiastchy H2AD EHealth
Mr Nepomiastchy H2AD EHealth
 
6 labellisation phn - florian catteau et jerome duvernois
6 labellisation phn - florian catteau et jerome duvernois6 labellisation phn - florian catteau et jerome duvernois
6 labellisation phn - florian catteau et jerome duvernois
 
Sauvegarde de données de santé
Sauvegarde de données de santéSauvegarde de données de santé
Sauvegarde de données de santé
 
2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...
2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...
2014-11-13 ASIP Santé JNI "Labellisation des solutions Programme Hôpital Numé...
 
Certification qualité
Certification qualitéCertification qualité
Certification qualité
 
Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...
 
2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...
2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...
2011-11-23 ASIP Santé DMP en ES "Certificats serveur et cartes CPE/CPS délivr...
 
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande d...
 
Certification et diagnostic certified maintenance
Certification et diagnostic certified maintenanceCertification et diagnostic certified maintenance
Certification et diagnostic certified maintenance
 
Iso 13485 2016 relation sous traitant fabricant
Iso 13485 2016 relation sous traitant fabricantIso 13485 2016 relation sous traitant fabricant
Iso 13485 2016 relation sous traitant fabricant
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
10 programme hn, la labellisation des logiciels
10 programme hn, la labellisation des logiciels10 programme hn, la labellisation des logiciels
10 programme hn, la labellisation des logiciels
 

Plus de ASIP Santé

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssantéASIP Santé
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabiliteASIP Santé
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsanteASIP Santé
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-insASIP Santé
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 

Plus de ASIP Santé (20)

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique "
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssanté
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsante
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 

Dernier

Les tumeurs malignes des glandes salivaires'.pptx
Les tumeurs malignes des glandes salivaires'.pptxLes tumeurs malignes des glandes salivaires'.pptx
Les tumeurs malignes des glandes salivaires'.pptxssuser8602b6
 
INTRODUCTION GENERALE A LA PARASITOLOGIE.pptx
INTRODUCTION GENERALE A LA PARASITOLOGIE.pptxINTRODUCTION GENERALE A LA PARASITOLOGIE.pptx
INTRODUCTION GENERALE A LA PARASITOLOGIE.pptxBallaMoussaDidhiou
 
Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...
Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...
Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...nadirmiry1
 
physologie de la croissance : age osseux.pptx
physologie de la croissance : age osseux.pptxphysologie de la croissance : age osseux.pptx
physologie de la croissance : age osseux.pptxStellKaffo
 
présentation PowerPoint sur les technique d'anesthésie en neurochirurgie.ppt
présentation PowerPoint sur les technique d'anesthésie en neurochirurgie.pptprésentation PowerPoint sur les technique d'anesthésie en neurochirurgie.ppt
présentation PowerPoint sur les technique d'anesthésie en neurochirurgie.pptlailaelhaddaoui1
 
antalgique cours 3 année faculté .pptx
antalgique cours 3 année faculté .pptxantalgique cours 3 année faculté .pptx
antalgique cours 3 année faculté .pptxDjacemBelmokre
 
Amibiase Cours diagnostic biologique .pptx
Amibiase Cours diagnostic biologique .pptxAmibiase Cours diagnostic biologique .pptx
Amibiase Cours diagnostic biologique .pptxMohamedArjdali
 
ANATOMIE SYSTEME DIGESTIF AI1354789.pdf
ANATOMIE SYSTEME DIGESTIF AI1354789.pdfANATOMIE SYSTEME DIGESTIF AI1354789.pdf
ANATOMIE SYSTEME DIGESTIF AI1354789.pdfMadickNDAO1
 
Phytochemical profile and antioxidant activity of two varieties of dates (Pho...
Phytochemical profile and antioxidant activity of two varieties of dates (Pho...Phytochemical profile and antioxidant activity of two varieties of dates (Pho...
Phytochemical profile and antioxidant activity of two varieties of dates (Pho...ilham guercif
 
Les aménorrhée primaire et secondaire .ppt
Les aménorrhée primaire et secondaire .pptLes aménorrhée primaire et secondaire .ppt
Les aménorrhée primaire et secondaire .pptdcp44cj6zm
 

Dernier (10)

Les tumeurs malignes des glandes salivaires'.pptx
Les tumeurs malignes des glandes salivaires'.pptxLes tumeurs malignes des glandes salivaires'.pptx
Les tumeurs malignes des glandes salivaires'.pptx
 
INTRODUCTION GENERALE A LA PARASITOLOGIE.pptx
INTRODUCTION GENERALE A LA PARASITOLOGIE.pptxINTRODUCTION GENERALE A LA PARASITOLOGIE.pptx
INTRODUCTION GENERALE A LA PARASITOLOGIE.pptx
 
Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...
Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...
Histologie du Tube Digestif (Chapitre 2/3 de l'Histologie du l'appareil diges...
 
physologie de la croissance : age osseux.pptx
physologie de la croissance : age osseux.pptxphysologie de la croissance : age osseux.pptx
physologie de la croissance : age osseux.pptx
 
présentation PowerPoint sur les technique d'anesthésie en neurochirurgie.ppt
présentation PowerPoint sur les technique d'anesthésie en neurochirurgie.pptprésentation PowerPoint sur les technique d'anesthésie en neurochirurgie.ppt
présentation PowerPoint sur les technique d'anesthésie en neurochirurgie.ppt
 
antalgique cours 3 année faculté .pptx
antalgique cours 3 année faculté .pptxantalgique cours 3 année faculté .pptx
antalgique cours 3 année faculté .pptx
 
Amibiase Cours diagnostic biologique .pptx
Amibiase Cours diagnostic biologique .pptxAmibiase Cours diagnostic biologique .pptx
Amibiase Cours diagnostic biologique .pptx
 
ANATOMIE SYSTEME DIGESTIF AI1354789.pdf
ANATOMIE SYSTEME DIGESTIF AI1354789.pdfANATOMIE SYSTEME DIGESTIF AI1354789.pdf
ANATOMIE SYSTEME DIGESTIF AI1354789.pdf
 
Phytochemical profile and antioxidant activity of two varieties of dates (Pho...
Phytochemical profile and antioxidant activity of two varieties of dates (Pho...Phytochemical profile and antioxidant activity of two varieties of dates (Pho...
Phytochemical profile and antioxidant activity of two varieties of dates (Pho...
 
Les aménorrhée primaire et secondaire .ppt
Les aménorrhée primaire et secondaire .pptLes aménorrhée primaire et secondaire .ppt
Les aménorrhée primaire et secondaire .ppt
 

HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de santé (HDS)

  • 1. Evolution de la procédure d’agrément des hébergeurs de données de santé Kahina HADDAD Frédéric LAW-DUNE
  • 2. 2 L’encadrement de l’activité d’hébergement de données de santé, modifié par l’ordonnance du 12 janvier 2017 Définition de la procédure de certification pour l’hébergement de données de santé sur support numérique Deux certificats pour deux métiers d’hébergement distincts Le choix du périmètre de la certification La procédure de certification et son référentiel La procédure de certification et les équivalences L’entrée en vigueur de la procédure de certification et la transition avec la procédure d’agrément Sommaire
  • 3. L’encadrement des activités d’hébergement de données de santé modifié par l’ordonnance du 12 janvier 2017 3 Ordonnance n° 2017-27 du 12 janvier relative à l’hébergement de données de santé Le champ d’application Toute personne qui héberge pour le compte d’un tiers des données de santé à caractère personnel collectées à l’occasion d’activités de prévention, de diagnostic ou de soins La prise en compte des droits des personnes Nécessité d’informer la personne concernée : • de l’hébergement de ses données de santé par un hébergeur; • de son droit de s’y opposer pour motif légitime; L’encadrement de la prestation d’hébergement par un contrat Contrat qui doit définir le service d’hébergement de données de santé objet du contrat, les modalités de fournitures du services, l’encadrement des accès aux données de santé, les droits des personnes concernées, etc.
  • 4. L’encadrement des activités d’hébergement de données de santé modifié par l’ordonnance du 12 janvier 2017 4 Les trois grandes catégories de services d’hébergement de données de santé L’hébergement de données de santé sur support numérique L’hébergement de données de santé sur support papier L’hébergement de données de santé dans le cadre d’un service d’archivage électronique Procédure de certification définie par un décret … à venir Elle remplace la procédure d’agrément Procédure d’agrément définie par le décret 2011-246  Compétence ministre de la culture Procédure d’agrément, définie par un décret … à venir Agrément qui pourra s’appuyer sur un certificat de conformité déjà délivré  Compétence ministre de la culture
  • 5. Définition de la procédure de certification pour l’hébergement de données de santé sur support numérique 5 • Un décret en Conseil d’Etat pris après avis de la CNIL et des ordres des professions de santé … …définit: • Le périmètre des activités d’hébergement soumises à certification; • Les modalités de délivrance du certificat de conformité : • le certificat de conformité est délivré par un organisme de certification accrédité par le COFRAC ( ou équivalent au niveau européen); • les référentiels de certification et d’accréditation seront pris par arrêté du ministre chargé de la Santé; • Les clauses obligatoires que devra comporter tout contrat d’hébergement de données de santé; …désigne : • L’ASIP Santé comme organisme chargé d’assurer le suivi de la procédure de certification; … organise: • La phase transitoire entre l’agrément et la certification
  • 6. Définition de la procédure de certification des hébergeurs de données de santé sur support numérique DSSIS (Délégation à la stratégie des systèmes d’information de santé) Définition du nouveau dispositif Validation du nouveau dispositif par un comité de pilotage • Représentants institutionnels : directions du ministère de la Santé, ANSSI, CNIL, fédérations hospitalières, Ordres, etc. • Représentants d’industriels AFHADS, ASINHPA, FEIMA, LESSIS, SNITEM et SYNTEC numérique ASIP Santé 6
  • 7. Deux certificats pour deux métiers d’hébergement distincts 7 2. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure matérielle du système d’information de santé 1. Mise à disposition ou maintien en condition opérationnelle de locaux permettant d’héberger l’infrastructure matérielle du système d’information de santé Hébergeur d’infrastructure physique 3. Mise à disposition ou maintien en condition opérationnelle de la plateforme logicielle (système d’exploitation, middleware, base de données, etc.) du système d’information de santé 4. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé 5. Infogérance d’exploitation du système d’information de santé 6. Sauvegardes externalisées des données de santé Hébergeur infogéreur
  • 8. Le choix du périmètre de la certification 8  Lorsque le périmètre d’activités comprend exclusivement une ou plusieurs activités parmi les activités numérotées de 1 à 2, il est évalué pour la conformité aux exigences s’appliquant aux hébergeurs d’infrastructure physique. La certification obtenue est dénommée certification « hébergeur d’infrastructure physique ».  Lorsque le périmètre d’activités comprend exclusivement une ou plusieurs activités parmi les activités numérotées de 3 à 6, il est évalué pour la conformité aux exigences s’appliquant aux hébergeurs infogéreurs. La certification obtenue est dénommée certification « hébergeur infogéreur ».  Lorsque le périmètre comprend au moins une activité de chacun de ces périmètres, il est évalué pour la conformité à toutes les exigences et obtient les deux certifications. Un hébergeur souhaitant obtenir une certification pour l’hébergement de données de santé doit identifier les activités concernées par sa demande
  • 9. La procédure de certification et son référentiel 9  La procédure de certification se fonde sur le processus standard de type système de management décrit dans la norme ISO 17021 et précisé dans la norme ISO 27006 :  l’hébergeur choisit un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) ;  l’organisme certificateur vérifie l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur ;  un audit en deux étapes conformes aux normes en vigueur est alors effectué : L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification. Audit documentaire Etape 1 Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation basé sur les normes l’ISO 17021 et ISO 27006. L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur. Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être recommencé. Audit sur siteEtape 2
  • 10. La procédure de certification et son référentiel 10  Le référentiel de certification est composé de  la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information »,  d’exigences de la norme ISO 20000 « système de gestion de la qualité des services»,  d’exigences de la norme ISO 27018 « protection des données à caractère personnel »  d’une exigence de la norme ISO 27017 « Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage »  et d’exigences spécifiques à l’hébergement de données de santé.  Une dimension internationale  La certification HDS pourra être délivrée par tout organisme certificateur accrédité par un organisme d’accréditation européen signataire des accords de reconnaissance EA/IAF. Le détail des exigences pour les certifications d’hébergeur d’infrastructure physique et d’hébergeur infogéreur seront prochainement mis à disposition sur le site de l’ASIP Santé, esante.gouv.fr
  • 11. La procédure de certification et son référentiel 11 • Pour obtenir une certification HDS, un candidat doit : Être certifié ISO 27001 Être évalué sur sa conformité aux exigences issues des normes (20000, 27017, 27018) et des exigences spécifiques • Validité du certificat Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur Un audit de surveillance annuel est effectué par l’organisme certificateur 3 ans 1 an
  • 12. La procédure de certification et les équivalences 12  Des certifications ISO 27001 et ISO 20000 déjà obtenues par un hébergeur peuvent être reconnues équivalentes lorsque : le périmètre de la certification dont dispose l’hébergeur inclut le périmètre pour lequel le candidat demande une certification HDS ; les certifications sont en cours de validité (ne font pas l’objet de suspension, transfert ou rectification) et ont été délivrées par des organismes certificateurs accrédités par le COFRAC ou équivalent européen ; De plus, les rapports d’audits (audit initial et audits de surveillance) doivent être remis, à sa demande, à l’organisme de certification.  Les certifications ISO 27017 et ISO 27018 déjà obtenues par un hébergeur ne peuvent pas être reconnues équivalentes car elles sont émises hors accréditation.
  • 13. L’entrée en vigueur de la procédure de certification et la transition avec la procédure d’agrément 13 S2 2017 S1 2018 1er janvier 2019 Entrée en vigueur de la certification HDS Décret HDS Toute nouvelle demande est traitée selon la procédure d’agrément actuelle Toute nouvelle demande est traitée selon la procédure de certification HDSNouvel hébergeur Hébergeur souhaitant renouveler son agrémentation Agrément valide pendant 3 ans Certification HDS Période pendant laquelle l’hébergeur peut continuer à fournir ses services Agrément arrivant à échéance moins d’un an après la date d’entrée en vigueur Agrément délivré avant la date d’entrée en vigueur Agrément arrivant à échéance