Hébergement des données – Obligations, modalités d’application du décret et organismes de contrôle présenté par François Macary (ASIP Santé) lors du Congrès de Vittel des 14 au 16 mai 2013 organisé par la SFIL
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpiASIP Santé
Sensibilisation à l'utilisation du dossier patient informatisé à l'AP-HP
Présentation d'Astrid LANG et Isabelle BEAU dans le cadre du colloque SSI - 29 novembre 2017 - ministère des Solidarités et de la Santé
500 jours plus tard: les DRG, contrainte ou opportunité?
Conférence du 27 juin 2013
Organisé par Paianet & Hôpitaux Universitaires de Genève (HUG)
Intervention:
Retours d’expérience d’équipes de codage et d’experts médico-économiques
Les relations avec les assureurs
Andréa Rudaz
Hôpitaux universitaires de Genève
Atelier dédié à la nouvelle procédure de certification des hébergeurs de données de santé (HDS)
Présentation de Kahina Haddad et Frédéric Law-Dune dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilitéASIP Santé
Label e-santé Logiciel Maisons et Centres de santé : un modèle de démarche d'opposabilité
Présentation dans le cadre du Séminaire Interopérabilité - 23 novembre 2017 - Le Generator
Hébergement des données – Obligations, modalités d’application du décret et organismes de contrôle présenté par François Macary (ASIP Santé) lors du Congrès de Vittel des 14 au 16 mai 2013 organisé par la SFIL
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpiASIP Santé
Sensibilisation à l'utilisation du dossier patient informatisé à l'AP-HP
Présentation d'Astrid LANG et Isabelle BEAU dans le cadre du colloque SSI - 29 novembre 2017 - ministère des Solidarités et de la Santé
500 jours plus tard: les DRG, contrainte ou opportunité?
Conférence du 27 juin 2013
Organisé par Paianet & Hôpitaux Universitaires de Genève (HUG)
Intervention:
Retours d’expérience d’équipes de codage et d’experts médico-économiques
Les relations avec les assureurs
Andréa Rudaz
Hôpitaux universitaires de Genève
Atelier dédié à la nouvelle procédure de certification des hébergeurs de données de santé (HDS)
Présentation de Kahina Haddad et Frédéric Law-Dune dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilitéASIP Santé
Label e-santé Logiciel Maisons et Centres de santé : un modèle de démarche d'opposabilité
Présentation dans le cadre du Séminaire Interopérabilité - 23 novembre 2017 - Le Generator
« L'UNCCAS met à disposition des services à domicile - services agréés et services autorisés - un nouveau livret sur les nombreux outils destinés à assurer la qualité de l'intervention et le respect effectif des droits des bénéficiaires. Pour favoriser une mise en place efficiente de ces outils, le livret apporte tous les éléments inhérents aux obligations légales et réglementaires. Véritable guide méthodologique, il est jalonné de précisions, recommandations et exemples concrets et pédagogiques pour faciliter le travail de vos équipes. »
Registre des entreprises non admissibles (rappel de la mesure) et informations récentes; regroupement d’organismes publics pour un appel d’offres : identification des parties; autorisations requises du dirigeant d’organisme versus le plan de désignation de signature ou délégation de signature dans un organisme; survol des modifications réglementaires à venir.
Idcc 1982 accord alternance pro a formation proLéo Guittet
Accord relatif au dispositif de reconversion ou de promotion par alternance (Pro-A) dans la convention collective nationale du négoce et des prestations de services dans les domaines médico-techniques du 9 avril 1997.
Avenant n°1 du 19 avril 2016 à l'accord du 23 novembre 2011 relatif à la modification du cahier des charges pédagogiques dans la CCN du personnel des prestataires de services dans le domaine du secteur tertiaire
Avenant à l'accord relatif à la santé au travail dans la convention collective nationale des salariés du particulier employeur du 24 novembre 1999 et la convention collective nationale des assistants maternels du particulier employeur du 1er juillet 2004.
Arrete du 27 avril 2015 conditions d octroi de periodes supplementaires et de...REITER LEGAL
Arrete du 27 avril 2015 conditions d octroi de periodes supplementaires et demande de prorogation de delais de depot et d execution - accessibilite des etablissements recevant du public
Suite à deux jugements contradictoires concernant la société SA ALTRAN Technologies, la Cour Administrative d’Appel de VERSAILLES avait été saisie afin d’uniformiser la jurisprudence applicable à la détermination de l’assiette du CIR des organismes de recherche agréés.
Ce faisant, par deux arrêts en date du 15 octobre 2015, la CAA de Versailles a confirmé le second jugement qui avait rendu par le tribunal administratif de Montreuil. Les juges ont donc considéré que la société ne peut bénéficier des dispositions de l’instruction du 8 février 2000, dès lors que ses donneurs d’ordre, qui ont atteint le plafond légalement prévu, ont eux- mêmes bénéficié du crédit d’impôt recherche s’agissant des dépenses de recherche en cause.
Retrouvez l'ensemble de ces jurisprudences et leur décryptage, dans notre dernière newsletter.
« L'UNCCAS met à disposition des services à domicile - services agréés et services autorisés - un nouveau livret sur les nombreux outils destinés à assurer la qualité de l'intervention et le respect effectif des droits des bénéficiaires. Pour favoriser une mise en place efficiente de ces outils, le livret apporte tous les éléments inhérents aux obligations légales et réglementaires. Véritable guide méthodologique, il est jalonné de précisions, recommandations et exemples concrets et pédagogiques pour faciliter le travail de vos équipes. »
Registre des entreprises non admissibles (rappel de la mesure) et informations récentes; regroupement d’organismes publics pour un appel d’offres : identification des parties; autorisations requises du dirigeant d’organisme versus le plan de désignation de signature ou délégation de signature dans un organisme; survol des modifications réglementaires à venir.
Idcc 1982 accord alternance pro a formation proLéo Guittet
Accord relatif au dispositif de reconversion ou de promotion par alternance (Pro-A) dans la convention collective nationale du négoce et des prestations de services dans les domaines médico-techniques du 9 avril 1997.
Avenant n°1 du 19 avril 2016 à l'accord du 23 novembre 2011 relatif à la modification du cahier des charges pédagogiques dans la CCN du personnel des prestataires de services dans le domaine du secteur tertiaire
Avenant à l'accord relatif à la santé au travail dans la convention collective nationale des salariés du particulier employeur du 24 novembre 1999 et la convention collective nationale des assistants maternels du particulier employeur du 1er juillet 2004.
Arrete du 27 avril 2015 conditions d octroi de periodes supplementaires et de...REITER LEGAL
Arrete du 27 avril 2015 conditions d octroi de periodes supplementaires et demande de prorogation de delais de depot et d execution - accessibilite des etablissements recevant du public
Suite à deux jugements contradictoires concernant la société SA ALTRAN Technologies, la Cour Administrative d’Appel de VERSAILLES avait été saisie afin d’uniformiser la jurisprudence applicable à la détermination de l’assiette du CIR des organismes de recherche agréés.
Ce faisant, par deux arrêts en date du 15 octobre 2015, la CAA de Versailles a confirmé le second jugement qui avait rendu par le tribunal administratif de Montreuil. Les juges ont donc considéré que la société ne peut bénéficier des dispositions de l’instruction du 8 février 2000, dès lors que ses donneurs d’ordre, qui ont atteint le plafond légalement prévu, ont eux- mêmes bénéficié du crédit d’impôt recherche s’agissant des dépenses de recherche en cause.
Retrouvez l'ensemble de ces jurisprudences et leur décryptage, dans notre dernière newsletter.
Colloque sur la sécurité des systèmes d’information ASIP Santé
Incident attaque – réactions ! Que déclarer, qui, quoi, qu’attendre ? Déclaration des incidents SSI - M. Emmanuel SOHIER - ASIP Santé; Service du HFDS - Pôle Cyber
Colloque sur la sécurité des systèmes d’information ASIP Santé
La Digitalisation et l’Intelligence Artificielle : incidences sur les parcours de vie, sur la coordination des écosystèmes de santé - M. Jean-François GOGLIN, FEHAP
MSSanté : déploiement et évolutions
Présentation d'Arnaud Morel et Mathieu Crouzet dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
Interopérabilité : évolutions du CI-SIS
Présentation de Thierry Dart et Meriem Maaroufi dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
Migration IGC Santé : impacts pour les services utilisateurs de cartes CPS
Présentation de David Decroix dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
Utilisation du NIR en tant qu'INS
Présentation de Frédéric Law-Dune dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
Réglementation européenne pour la protection des données personnelles (RGPD)
Présentation de Florence Eon dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
2013-09-13 ASIP Santé "Hébergement de données de santé Dossiers de demande de renouvellement"
1. Hébergement de
données de santé
Dossiers de demande de
renouvellement
Jeanne BOSSI
Philippe BICLET
Jean-François PARGUET
13 Septembre 2013
2. Article R 1111-15 du code de la santé publique
« L'agrément est délivré aux hébergeurs de données de santé à caractère
personnel sur support informatique pour une durée de trois ans.
La demande de renouvellement doit être déposée au plus tard six
mois avant le terme de la période d'agrément. Elle comprend les
documents mentionnés au 8° de l’article R 1111-12 et un
récapitulatif des modifications intervenues depuis la dernière
demande d'agrément en ce qui concerne les autres documents
mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais
de l'hébergeur, attestant de la mise en œuvre de la politique de
confidentialité et de sécurité mentionnée à l’article R 1111-14. Elle
est instruite selon la même procédure que celle applicable à la
demande initiale.
Les décisions d'agrément, ainsi que le renouvellement de cet agrément,
sont publiées au Bulletin officiel du ministère de la santé. ».
13 Septembre 2013Demande de renouvellement 2
3. Article R 1111-12 du code de la santé publique
« Le dossier de demande d'agrément comprend les éléments suivants:
1° L'identité et l'adresse du responsable du service d'hébergement et, le cas échéant, de son
représentant ; pour les personnes morales, les statuts sont produits ;
2° Les noms, fonctions et qualifications des opérateurs chargés de mettre en œuvre le service, ainsi
que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont
accès aux données hébergées ;
3° L'indication des lieux dans lesquels sera réalisé l'hébergement ;
4° Une description du service proposé ;
5° Les modèles de contrats devant être conclus, en application du deuxième alinéa de l'article L. 1111-
8, entre l'hébergeur de données de santé et les personnes physiques ou morales qui sont à l'origine du
dépôt des données de santé à caractère personnel ; ces modèles sont établis conformément aux
dispositions de l'article R. 1111-13 ;
6° Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par
la loi, notamment la présentation de la politique de confidentialité et de sécurité prévue au 2° de l'article
R. 1111-9 ;
7° Le cas échéant, l'indication du recours à des prestataires techniques externes et les contrats
conclus avec eux ;
8° Un document présentant les comptes prévisionnels de l'activité d'hébergement et, éventuellement,
les trois derniers bilans et la composition de l'actionnariat du demandeur, ainsi que, dans le cas d'une
demande de renouvellement, les comptes de résultat et bilans liés à cette activité d'hébergement depuis
le dernier agrément.
L'hébergeur déjà agréé informe sans délai le ministre chargé de la santé de tout changement affectant
les informations mentionnées ci-dessus et de toute interruption,temporaire ou définitive,de son activité. »
3
4. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 4Demande de renouvellement
5. Eléments sur le déroulement de la procédure
Conformément au décret 2006-6 du 4 janvier 2006, les dossiers de
demande de renouvellement sont instruits selon la même procédure que
les demandes initiales :
Avis de la CNIL, puis avis du CAH et décision du ministre en charge de la
santé.
Le renouvellement d’agrément n’est donc pas automatique. La CNIL, le CAH
et le ministre en charge de la santé apprécient la demande de
renouvellement.
13 Septembre 2013Demande de renouvellement 5
Dépôt de
demande
d’agrément
1ère Année
2 mois
Auto-
évaluation
2ème Année 3ème Année
2 mois 6 mois
Auto-
évaluation
Demande
Renouvellement
Renouvellement
Non Renouvellement
Agrément
6. Eléments sur le déroulement de la procédure
Modalités d’instruction
Les dossiers sont instruits sur le fondement des documents exigés par le
décret, de la prise en compte par l’hébergeur des recommandations qui
accompagnaient la décision d’agrément et de l’adaptation du service aux
évolutions de la doctrine et de l’état de l’art.
Instruction des dossiers par la CNIL et le CAH : délais et
communication des avis de la CNIL
Décision du CAH de surseoir à statuer sur certains dossiers de
demande de renouvellement
Rapport d’activité du CAH et mise à jour de la FAQ
13 Septembre 2013Demande de renouvellement 6
7. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 7Demande de renouvellement
8. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
L’article R 1111-15 du code de la santé publique liste les éléments
que doivent contenir les dossiers de demande de renouvellement
d’agrément:
1. la mise à jour des données financières et comptables ;
2. la liste des modifications apportées depuis l’agrément initial ;
3. un rapport d’audit externe de sécurité.
Un premier examen de la complétude des dossiers est donc réalisé.
Afin d’accompagner les hébergeurs dans l’élaboration de leur dossier de
demande de renouvellement, un formulaire a été publié et permet aux
hébergeurs de s’assurer de la complétude de leur dossier.
13 septembre 2013
Demande de renouvellement
8
9. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
1- Les informations financières et comptables
L’article R 1111-15 du code de la santé publique précise que le dossier de
demande de renouvellement doit comporter les éléments financiers visés à
l’article R 1111-12 8°: « les comptes prévisionnels de l'activité d'hébergement
et, éventuellement, les trois derniers bilans et la composition de l'actionnariat du
demandeur, ainsi que, dans le cas d'une demande de renouvellement, les
comptes de résultat et bilans liés à cette activité d'hébergement depuis le
dernier agrément. »
• Le CAH doit apprécier les garanties d’ordre financier et
économique offertes par le candidat.
• Le CAH doit s’assurer de la pérennité de la société capacité à
garantir la disponibilité et la pérennité des données de santé.
13 Septembre 2013Demande de renouvellement 9
10. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
2- Evolution et modifications apportées au service d’hébergement
depuis l’agrément initial
L’article R 1111-15 du code de la santé publique dispose que le dossier de demande de
renouvellement doit comporter « un récapitulatif des modifications intervenues depuis la
dernière demande d’agrément en ce qui concerne les autres documents mentionnés à
[l’article R 1111-12]. »
• Nécessité pour l’hébergeur de présenter les évolutions apportées sur le
service agréé ayant un impact sur les éléments mentionnées à l’article R
1111-12.
Exemples: modifications des statuts, recours à un nouveau sous-traitant, nouveau site dans
lequel sera réalisé l’hébergement, nouvelle disposition de sécurité mise en œuvre, etc.
13 Septembre 2013Demande de renouvellement 10
11. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
2- Evolution et modifications apportées au service d’hébergement
depuis l’agrément initial
Les évolutions et modifications apportées au service d’hébergement
de données de santé ne peuvent modifier substantiellement le
périmètre du service agréé et par voie de conséquence constituer un
avenant au contrat d’hébergement.
• Exemples d’évolutions modifiant le périmètre de la prestation exigeant une
nouvelle demande d’agrément
Hébergeur agréé pour un service où il infogère l’ensemble du système, mais
souhaitant proposer ce même service en confiant au client une partie de l’infogérance
du service.
Hébergeur agréé pour l’hébergement d’une application nominativement désignée,
mais souhaitant héberger dans les mêmes conditions techniques toute application
fournie par les clients et gérant des données de santé à caractère personnel
(demandes génériques).
13 Septembre 2013Demande de renouvellement 11
12. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
3- Le rapport d’audit externe
Conformément à l’article R 1111-15 du code de la santé publique, la demande de
renouvellement doit comprendre « un audit externe réalisé aux frais de l'hébergeur, attestant de
la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l’article R 1111-
14. …. ».
• Cet audit doit couvrir les exigences du décret et analyser le degré de
conformité des moyens mis en œuvre par l’hébergeur au regard de ces
exigences. Il ne suffit donc pas de se limiter à analyser la conformité
des moyens mis en œuvre par l’hébergeur au regard de ce qu’il a
déclaré dans son dossier de demande d’agrément initial. En outre, la
conformité doit aussi être évaluée eu égard aux évolutions de l’état de
l’art ayant pu émerger depuis la demande d’agrément initiale.
• L’audit doit également prendre en compte les recommandations qui
accompagnaient la décision d’agrément et indiquer ce qui a ou non été
mis en place par l’hébergeur pour les respecter.
13 Septembre 2013Demande de renouvellement 12
13. Appréciation des éléments du dossier de
demande de renouvellement
Ce que demande le décret
3- Le rapport d’audit externe
• Afin d’accompagner les hébergeurs dans la conduite de l’audit externe,
l’ASIP Santé a ajouté une nouvelle question dans sa FAQ et propose
un exemple de scénario d’audit portant sur la conformité des moyens
techniques mis en œuvre par l’hébergeur aux exigences du décret
2006-6 du 4 janvier 2006. Ce document constitue un simple canevas
qui répertorie l’ensemble des exigences énoncées dans le formulaire
P6 et prises en compte, toutes ou parties par l’hébergeur lui-même ou
par des tiers en fonction des reports de responsabilité qu’il a déclarés.
Comme le décret 2006-6 du 4 janvier 2006 n’évoque ni la qualité, ni la
nature de l’auditeur externe auquel l’hébergeur doit recourir, la nouvelle
question de la FAQ précise que l’hébergeur pourra faire appel à un
auditeur qualifié par l’ANSSI.
13 Septembre 2013Demande de renouvellement 13
14. Appréciation des éléments du dossier de
demande de renouvellement
Recommandations du ministre
Les décisions favorables d’agrément délivrées par le
ministre en charge de la santé sont accompagnées de
recommandations.
Lors de l’analyse d’un dossier de demande de
renouvellement, le CAH vérifie si l’hébergeur a tenu compte
de ces recommandations et s’assure des moyens mis en
œuvre pour y répondre.
Le CAH apprécie bien sûr la nature des recommandations
émises au regard des évolutions du cadre de l’hébergement.
13 Septembre 2013Demande de renouvellement 14
15. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 15Demande de renouvellement
16. Les évolutions du cadre de l’hébergement
Evolution du cadre juridique
• L’hébergeur doit apporter à son service d’hébergement les modifications
nécessaires pour respecter le cadre juridique.
• Nécessité d’assurer une veille juridique.
Exemple :
Dispositions de l’article L 1110-4 du code de la santé publique modifiées par
la loi « HPST » du 21 juillet 2009 : obligations pour les professionnels de santé
d’utiliser une carte CPS ou tout autre dispositif équivalent.
Systèmes de messageries sécurisées de santé : dispense de recueil du
consentement.
13 Septembre 2013Demande de renouvellement 16
17. Les évolutions du cadre de l’hébergement
Evolution de la doctrine du CAH
• Renforcement du contrôle du CAH dû à la présentation de prestations
génériques
Tout report d’obligation du décret, sur le client, doit être couvert
contractuellement et accompagné d’un réel devoir de conseil.
Désigner les sous-traitants et joindre les contrats de sous-traitance.
Délimiter clairement le périmètre de la prestation d’hébergement et ne
pas proposer une prestation de type « catalogue de services ».
• Mise à jour de la FAQ afin de transmettre l’information aux
hébergeurs et plus largement au grand public.
13 Septembre 2013Demande de renouvellement 17
18. Evolutions de l’activité d’hébergement
Evolution des technologies
• Obligation d’assurer une veille technologique, afin de garantir le
respect de l’état de l’art.
• Travaux de la PGSSI-S
Exemples:
Evolution de la robustesse des mots de passe administrateurs.
Prendre en compte la gestion des changements dans les processus,
procédures et mécanismes décrits.
Chiffrement des supports de sauvegardes externalisés.
13 Septembre 2013Demande de renouvellement 18
19. Eléments sur le déroulement de la
procédure
Appréciation des éléments du dossier
de demande de renouvellement
Evolutions du cadre de l’hébergement
Questions/Point d’actualité
13 Septembre 2013 19Demande de renouvellement