lundi 6 juillet 2015

Intervention CGPEM RHONE-ALPES: les enjeux de la E SANTE ....

Delphine JAAFAR est intervenue le 29 juin 2015 au sein de la commission santé de la CGPME RHONE-ALPES, consacrée aux enjeux de la E SANTE, aux côté de Monsieur Hubert VIOT qui a pu présenter la solution MAELA en cours de développement.




Le Cabinet BISMUTH est de plus en plus présent auprès des start-up proposant des démarches innovantes en matières de e santé ...





Publié par à Aucun commentaire:

La politique générale de sécurité des systèmes d'information de santé ...



L’ASIP Santé a dernièrement publié trois documents constitutifs du corpus documentaire de  la Politique Générale de Sécurité des Systèmes d’Information de Santé.

L’élaboration d’une Politique Générale de Sécurité des Systèmes d’Information de Santé est une conséquence à la fois de l’augmentation de l’usage des technologies et de l’augmentation des risques et menaces pour les systèmes d’information de santé. Ainsi, avec cette Politique Générale de Sécurité des Systèmes d’Information de Santé, l’Etat souhaite fixer un cadre de sécurisation des systèmes d’information de santé pour accompagner la dématérialisation des données de santé entre autres.

D’un point de vue réglementaire, la protection des données personnelles de santé est primordiale. Cependant, pour espérer une bonne protection de ces données, le contrôle devra se faire tout au long du traitement du patient en  sensibilisant le personnel, en informant l’usager, en limitant l’accès aux données… Pour optimiser le contrôle durant le traitement, la protection des données doit également se faire par des contrôles a priori et a posteriori.

La protection des données personnelles de santé a pour base normative la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi que son décret d’application du 20 octobre 2005. De ces textes ressort cinq principes fondamentaux :
  • la finalité du traitement : celle-ci doit être déterminée, explicite et légitime ;
  • la pertinence et la proportionnalité des données : celles-ci doivent être pertinentes par rapport à la finalité poursuivie ;
  • la conservation limitée des données : celles-ci doivent être conservées seulement la durée nécessaire à la réalisation de la finalité poursuivie ;
  • la sécurité et la confidentialité des données : veiller à ce que les données ne soient pas déformées, endommagées ou qu’un tiers non autorisé ne puisse y avoir accès ;
  • le respect des droits des personnes.
    Ces principes sont fondamentaux et ont inspiré la rédaction de cette politique.
     
     
    D’abord, le contrôle optimal de la protection des données personnelles de santé passe par un contrôle a priori. Ce contrôle se fait par la CNIL. Il s’agit en réalité d’une procédure préalable nécessaire pour les systèmes d’information de santé. Ce contrôle peut se faire de deux façons : soit par déclaration soit par autorisation. Par exemple, pour la mise en place d’une nouvelle fonctionnalité, celle-ci doit être analysée pour déterminer si elle nécessite une modification de la déclaration ou de la demande d’autorisation de la structure. De plus, ce contrôle a priori s’étend en réalité car la déclaration ou la demande d’autorisation doit être régulièrement revue pour vérifier qu’elle décrit correctement les traitements de données.  
    Ce contrôle a priori permet d’amoindrir les risques d’erreurs dans les systèmes d’information de santé et donc par conséquent il réduit également les menaces contre les données personnelles de santé. L’optimisation du contrôle passe en plus par la vérification régulière de la déclaration ou de la demande d’autorisation. Avec ce contrôle, la CNIL a un rôle de « filtrage » des systèmes d’information de santé.
     
    Ensuite, le contrôle se fait le temps de la réalisation de la finalité poursuivie. Cependant ce contrôle est différent en s’appuyant sur les premiers concernés c’est-à-dire les patients et le personnel de santé. En effet, ce contrôle n’en est pas vraiment un, il s’agit plus d’une collaboration avec les patients et le personnel de santé car en les informant des risques ils acquièrent une certaine responsabilité dans la protection des données personnelles de santé.
     
    Cette collaboration commence avec le personnel de santé dans les six mois de la prise en fonction. En effet, le personnel de santé est sensibilisé par rapport aux risques possibles. Cette sensibilisation peut prendre plusieurs formes comme une session de sensibilisation ou la diffusion d’une documentation didactique par exemple. De plus, pour rendre la protection des données optimale, un « rafraichissement »régulier est possible.
     
    Le respect des règles d’échange et de partage des données personnelles de santé fait également parti de ce contrôle. Ces règles sont posées part l’article L1110-4 du Code de la santé publique et du décret du 15 mai 2007. Selon ces règles, l’échange ou le partage d’information concernant un usager est autorisé entre les professionnels le prenant en charge (entre l’hôpital et le généraliste par exemple) dans l’intérêt de celui-ci. La restriction de l’accès des données personnelles de santé est renforcée par la limitation de l’accès aux données. En effet, seules les personnes participantes à la prise en charge sanitaire de l’usager sont autorisées à avoir accès aux données personnelles du patient. Cependant il existe une exception à ce principe. En effet, une liste de professionnels de santé dûment habilités à intervenir de façon exceptionnelle sur des données de santé en dehors de la prise en charge sanitaire de l’usager doit être élaborée.
    Ces règles permettent de diminuer les menaces envers les données personnelles de santé et également une meilleure organisation dans le service.
     
    Une protection optimale des données personnelles de santé durant la réalisation de la finalité poursuivie se termine enfin par le fait d’informer l’usager et de recueillir son consentement.
    En effet, l’usager doit être informé de plusieurs choses. Dans un premier temps il doit être informé de ces droits : droit à l’information, droit d’opposition, droit d’accès et droit de rectification. Dans un second temps l’usager doit être informé sur les conditions de partage et d’échange des données. Le fait d’informer l’usager permet d’éviter les risques d’échanges de données personnelles à un tiers non-autorisé. Après avoir prit connaissance des règles, l’usager doit donner son consentement. Le consentement de l’usager est nécessaire pour le service car à travers celui-ci l’usager devient également responsable de la protection de ses données personnelles de santé.
     
     Enfin, le contrôle a posteriori se pose avec les questions de conservation et de restitution des données personnelles de santé. L’objectif était ici de fixer une durée de conservation.
    Ainsi, deux principes ont été dégagés. Le premier principe évoque que les données personnelles de santé doivent être conservées  que pendant une durée cohérente avec la finalité du traitement. Le second principe évoque que la conservation doit respecter les durées indiquées par la loi lorsque celles-ci sont spécifiées. Ce contrôle a posteriori a pour finalité d’éviter que des données soient perdues ou qu’elles soient entre les mains de tiers non autorisés.
     
    Avec tous ces contrôles, la protection des données ne peut être que renforcée.
    En optimisant les contrôles, la dématérialisation des données personnelles de santé peut continuer à se développer en réduisant les menaces et les risques liés à ces données.
     
     
     


Publié par à Aucun commentaire:
Inscription à : Articles (Atom)