Hébergement des données de santé

L’hébergement des données de santé

 

Avis de l’expert

Le caractère sensible des données de santé à caractère personnel et les obligations légales qui s’imposent aux établissements de santé (Code de Santé Public, Directives de l’ASIP Santé, ….) entraînent le respect d’exigences de sécurité et le respect de bonnes pratiques spécifiques que le DSI, le Directeur de l’informatique médicale, le RSSI et le Correspondant Informatique et Libertés doivent appréhender dans le système d’information de santé.

L’objectif de cette formation est de donner d’une part aux responsables des traitements de données à caractère personnel et d’autre part aux responsables de la mise en œuvre des traitements, les connaissances indispensables à l’accomplissement de leurs missions.

 

Objectifs de cette formation

  • Fournir les éléments juridiques, organisationnels et techniques imposés par la loi et précisés par la CNIL,
  • Connaitre les bonnes pratiques qui permettront à l’établissement de santé de mettre en oeuvre les différentes actions dans les meilleures conditions et dans le respect de la loi.

 

Itinéraire pédagogique

 

1. Introduction

  • Les enjeux

– Périmètre de la loi : Notion de « Traitements de données à caractère personnel »

– Applicabilité au sein d’un établissement de santé

– Les enjeux de la protection des données à caractère personnel dans le cadre des établissements de santé

  • Le cadre juridique et réglementaire applicable dans les établissements de santé
  • Les référentiels ASIP

– PGSSI-S

– Référentiel d’authentification des acteurs de santé

– Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

– Règles pour les dispositifs connectés d’un Système d’Information de Santé

– Règles pour les interventions à distance sur les systèmes d’information de santé

– Guide pratique spécifique pour la mise en place d’un accès Wifi

– Le RGS 2.0

 

2. Les rôles et les responsabilités au sein d’un établissement de santé 

  • La relation maitrise d’ouvrage stratégique et opérationnelle/ maîtrise d’œuvre et la fonction SSI pour les SIS
  • Les principes généraux de la loi (qualité des données, licéité du traitement, sécurité et confidentialité des données, droits de la personne concernée, les formalités préalables)
  • Les bonnes pratiques émises par les autorités compétentes (CNIL, ANSSI, ASIP Santé, …) en matière de protection de la vie privée et des données à caractère personnel
  • La désignation du CIL : Modalités de désignation, information des IRP et notification

 

3. La gouvernance « Informatique et Libertés » à mettre en place au sein d’un établissement de santé

  • Les rôles et les responsabilités respectives en matière de protection de la vie privée et des données personnelles (la direction des soins, la direction administrative, le service informatique, le Référent en sécurité des SI, …..)
  • Les instances de décisions à prévoir (commission d’homologation de la SSI, autorité d’homologation, ….)
  • La formalisation des politiques de protection de la vie privée et des données à caractère personnel (PSSI, Politiques spécifiques de protection de données de santé, charte utilisateur, ….)
  • La prise en compte native de la SSI dans les projets SIS

 

4. Les exigences et domaines thématiques d’intervention

  • La correspondance avec la norme ISO 27002
  • Les responsables concernés
  • Répondre aux obligations légales
  • Promouvoir et organiser la sécurité
  • Assurer la sécurité physique des équipements informatiques du SI
  • Protéger les infrastructures informatiques
  • Maîtriser les accès aux informations
  • Acquérir des équipements, logiciels et services
  • Limiter la survenue et les conséquences d’incidents de sécurité

 

5. Les missions du CIL au sein d’un établissement de santé

  • Les premières actions à mener dans les 3 mois après la désignation du CIL
  • La tenue du registre des traitements
  • La sensibilisation des responsables en charge de la mise en œuvre des traitements de données à caractère personnel
  • L’audit de conformité des traitements
  • L’appréciation des risques sur la vie privée
  • La cartographie des risques pour les données de santé
  • La sécurité des données de santé et administratives à caractère personnel
  • L’application du RGS 2.0 au sein des établissements de santé
  • La mission du CIL dans le cadre de l’application de la PGSSI-S de l’ASIP Santé
  • Les relations du CIL avec le chef d’établissement
  • Les relations du CIL avec la CNIL
  • La formalisation du Bilan du CIL

 

6. Cas pratique

  • Le registre, catégorisation des données et cartographie des traitements
  • Instruments juridiques et organisationnels : Politique de protection des données personnelles, notes d’information et clauses contractuelles, procédures d’alerte
  • Outils d’évaluation de la conformité et d’analyse des risques.

 

7. Conclusion

  • Les avantages liés à la désignation d’un CIL au sein d’un établissement de santé
  • Evolution du cadre réglementaire européen : Point sur le nouveau règlement Européen

 

Déroulement du stage

Une approche méthodologique participative permettant des échanges entre participants et le formateur sur des retours d’expériences concrets : le formateur pressenti accompagne des CIL et des RSSI de plusieurs établissements de santé dans l’accomplissement de leurs missions.

Le support de formation est utilisé pour présenter les éléments structurants des exigences de l’ASIP et de la CNIL et les applications pratiques dans le domaine de la santé : le support est adapté aux exigences et au contexte spécifique des établissements de santé.

 

Public concerné

  • Le Responsable de la Sécurité du Système d’Information (RSSI) de l’établissement de santé
  • Le Correspondant Informatique et Libertés (CIL) de l’établissement de santé
  • Les Chefs de Projet informatique et utilisateur
  • Le Directeur des Systèmes d’Information
  • Le Directeur de l’Informatique Médicale (DIM).

 

Pré-requis

Aucun

 

Contrôle des acquis

Cette formation ne fait pas l’objet d’une évaluation des acquis.

logo Ageris image Notre catalogue de formations

Notre planning de formations
logo Ageris image
« Devenir CIL / DPO » « Loi Informatique et Libertés dans le domaine de la santé »

Tous droit réservés © Ageris 2017

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer