DWS17 - Investment and digital infrastructure seminar - Roland MONTAGNE - ID...
Mr Nepomiastchy H2AD EHealth
1. La collecte d’information sécurisée et la protection de la
vie privée
Pourquoi un agrément pour l’hébergeur de
données de santé, comment l’appliquer : retour
d’expérience
H2AD
Serge Nepomiastchy – Directeur SI
17 novembre 2011
2. Agenda
Pourquoi un agrément pour l’hébergeur de santé, comment
l’appliquer : retour d’expérience’
• Le contexte et les acteurs
• L’Agrément en tant qu’Hébergeur de Données de Santé
à Caractère Personnel
• Un retour d’expérience: H2AD
3. Le contexte et les acteurs
• La loi
– Informatique et Libertés
– Code la Santé Publique
• La CNIL - « l’informatique doit respecter l’identité humaine, les
droits de l’homme, la vie privée et les libertés »
• L’ASIP Santé - L’Agrément en tant qu’Hébergeur de Données de
Santé à Caractère Personnel
• H2AD – Une PME opérant un centre d’appels médicalisé et des
solutions de télémédecine
4. Le contexte et les acteurs
• La CNIL
– « l’informatique doit respecter l’identité humaine, les droits de
l’homme, la vie privée et les libertés »
– Données de santé: 5 principes issus de la loi Informatique et
Libertés:
• Finalité: données recueillies pour un usage déterminé et légitime
• Pertinence
• Droit à l’oubli
• Sécurité et confidentialité
• Droits des personnes
– Information
– Droit d’accès et rectification
5. Le contexte et les acteurs
• L’ASIP Santé
– « Agence Nationale des Systèmes d’Information partagés »
créée en 2009
– 3 Chantiers « historiques »
• L’Interopérabilité
• La CPS – Carte Professionnelle de Santé
• Le DMP – Dossier Médical Personnel
– L’Agrément en Tant qu’Hébergeur de Données de Santé à
Caractère Personnel
6. Le contexte et les acteurs
• H2AD
– PME créée en 2004
– 40 collaborateurs
– Centre d’appels médicalisé opérationnel en 24/7 depuis le 1er
janvier 2006
– Solutions de télémédecine: système Twitoo
– Agréé Hébergeur de Données de Santé depuis Février 2010
7. L’Agrément en tant qu’Hébergeur de Données de
Santé à Caractère Personnel
• Les principes de l’agrément
– Organiser le dépôt et la conservation des données
• Garantir leur pérennité et leur confidentialité
• Définir par contrat les modalités de mise à disposition de ces données
• Restituer les données en fin de contrat
– Distinguer le responsable des « traitements » et l’ « hébergeur
des données de santé »
• La Loi Informatique et Libertés s’applique au responsable des traitements
• Les responsable des traitements sous-traite l’activité d’hébergement
• L’hébergeur est soumis à l’agrément
– La présence d’un « Médecin Hébergeur »
– Un établissement de santé qui héberge lui-même les données
de santé de ses patients n’est pas soumis à l’agrément
8. L’Agrément en tant qu’Hébergeur de Données de
Santé à Caractère Personnel
• La procédure d’agrément
– Constitution du dossier d’agrément
• Présentation du service d’hébergement
• Analyse des risques
• PSSI
• Déclaration des sous-traitants
• Modèles de contrats types
• Dispositions de sécurité
– 8 mois d’instruction par l’ASIP et la CNIL
– Agrément valable 3 ans
– Procédure de mise à jour de l’agrément
• Auto-évaluation au minimum annuelle
• Procédure de renouvellement au bout de 3 ans avec audit
9. L’expérience d’H2AD
• Le métier H2AD
– Des caractéristiques particulières
• Taille: PME
• Offre de services complète
– Un plateau médicalisé 24/7
– Une application logicielle « dossier de suivi médical » des patients
– Des solutions de maintien à domicile et de téléalarme
– Des solutions de télémédecine
• Offre de services intégrée
– Fourniture des services humains et médicaux
– Fourniture de l’application logicielle sous-jacente
– Hébergement des données de santé générées
– Une expérience de terrain
• Plateau opérationnel sans interruption depuis janvier 2006
10. L’expérience d’H2AD
• H2AD et l’agrément hébergeur
– Une approche fonctionnelle
• Plateau médicalisé 24/7
• Procédures manuelles et automatique de contrôle
• Un suivi structuré des conditions de mise en œuvre de l’agrément
– Médecin hébergeur et contrôles qualité
– Commission de Sécurité du Système d’Information
– Comité Juridique et Déontologique
– Site Intranet dédié
– Une procédure d’obtention longue
• Préparation interne du dossier: 4 mois
• Dépôt, instruction, questions/réponses: 8 mois
• Notification en février 2010
11. L’expérience d’H2AD
• Un agrément complexe à « manier »
– La frontière traitement/hébergement pose question
• Chiffrement et authentification
• Continuité de service
• Accès aux données par le médecin hébergeur
– La PSSI – un outil interne pertinent mais complexe
• Quel périmètre
– Un nouveau client = un nouveau contrat type = mise à jour de
l’agrément?
• Mises à jour fréquentes
• Evolutions « non substantielles » ou nouvel agrément?
12. En vous remerciant…
– Quelques liens:
• http://www.afhads.fr
• http://esante.gouv.fr
• http://www.cnil.fr
• http://www.h2ad.net
Serge Nepomiastchy
Directeur Système d’Information H2AD
sn@h2ad.net