Décret sur la certification des hébergeurs de données de santé publié au Journal officiel le 28 février 2018

Décret sur la certification des hébergeurs de données de santé publié au Journal officiel le 28 février 2018

Par JF GOGLIN – Conseiller national SIS FEHAP

 

 

Le décret relatif à l'hébergement de données de santé à caractère personnel (HDS), détaillant le passage d'un régime d'agrément à une certification des hébergeurs, a été publié au Journal officiel du 28 février 2018.

 

Date de mise en application : le 1er Avril 2018

 

Descriptif

Ce texte est pris en application de la loi du 26 janvier 2016 de modernisation de notre système de santé et de l'ordonnance du 12 janvier 2017 relative à l'hébergement des données de santé à caractère personnel.

Il vise à élever le niveau de sécurité de données de santé, qu’elles soient hébergées chez un prestataire ou au sein d’un établissement ou d’une structure de santé.

Il fixe les modalités de mise en œuvre de la procédure de certification, le périmètre d'application du dispositif et la période de transition entre la procédure d'agrément et de certification. La certification interviendra sur la base d'un référentiel élaboré par l'ASIP santé s'appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d'information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel).

Le décret favorise également le changement de prestataire pour les professionnels de santé.

Dans le cas où un établissement ou une structure de santé souhaiterait disposer en interne de ses propres machines, mais faire assurer son infogérance par un prestataire, il faudra qu'il soit certifié pour la partie du service d'hébergement qui le concerne (l'infrastructure physique) et qu'il choisisse des prestataires certifiés pour ce qu'il externalise.

L'établissement ou la structure de santé également retenir un prestataire principal certifié associé à des sous-traitants qui ne le sont pas, auquel cas les sous-traitants retenus n'auront le droit d’intervenir et donc d'héberger que dans le cadre du contrat du principal offreur certifié. 

 

Impact

A compter du 1er avril 2018, toute personne morale hébergeant des données de santé à caractère personnel recueillies dans le cadre d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil des données, ou pour le patient, devra être certifiée HDS.

La loi prévoit le transfert de la procédure d'agrément HDS, actuellement assuré par un comité placé auprès de l’ASIP Santé, à une certification confiée à des organismes certificateurs agréés.

 

Les responsabilités respectives

Un établissement ou structure de santé qui héberge les données générées par un autre établissement ou structure de santé, par exemple dans le cadre d'un groupement hospitalier de territoire (GHT), ou pour un industriel qui propose un dispositif médical connecté s'inscrivant dans un parcours de soins ou dans une action de prévention devra obtenir l’agrément nécessaire.

Les structures qui disposent déjà d'un agrément en disposeront jusqu'à la fin de sa durée de validité, à savoir trois ans, et sera ensuite obligée d'être certifiée.

Les demandes d'agrément qui auront été déposées avant le 1er avril 2018 seront instruites selon l'ancien dispositif.

Par ailleurs, les agréments qui arriveront à échéance d'ici mars 2019 seront prorogés de six mois, afin que les acteurs puissent se préparer à la certification".

La nouvelle réglementation comprend aussi l'obligation, pour l'acteur de santé, de vérifier si son prestataire hébergeur est certifié, faute de quoi sa responsabilité pourrait être engagée.

  

Pour toute information contacter votre conseiller SIS :

Jean-François GOGLIN

Jeanfrancois.goglin@fehap.fr

Tel : 06 62 79 27 81