Hébergement des données de santé : nouveaux référentiels

Services | 29 nov. 2017
Dans la continuité de l’ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel, une nouvelle procédure de certification va se mettre en place courant 2018. Ses grands principes seront précisés prochainement par un décret en Conseil d’Etat. Les référentiels d’accréditation et de certification sont publiés dès à présent pour permettre aux acteurs concernés d’anticiper leur mise en œuvre.
 

Publication des référentiels d’accréditation et de certification


Une nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique va remplacer l’actuelle procédure d’agrément courant 2018. Elle prévoit d’encadrer l’activité  d’hébergement  de  données  de  santé par une évaluation de conformité à un référentiel de certification, délivrée par un organisme de certification accrédité par le COFRAC (ou équivalent au niveau européen).

Les objectifs poursuivis sont d’inscrire la démarche dans une procédure bien connue du monde industriel, de la rendre transparente et prédictible (basée sur un référentiel d’exigences public et donc auditable), plus souple (avec un référentiel évolutif grâce à la mise en place d’un cycle de vie du référentiel), dans des délais maîtrisés par les hébergeurs.

Cette nouvelle procédure a été définie par les pouvoirs publics en concertation avec les ordres des professions de santé, les fédérations d’entreprises du secteur de la santé, les associations de patients, les fédérations d’établissements de santé et la CNIL.

Les grands principes de cette procédure seront précisés par un décret en Conseil d’Etat.

Les modalités d’accréditation des organismes de certification d’une part, et de certification des hébergeurs de données de santé d’autre part, sont définies dans les référentiels présentés ci-après :

Le Référentiel d’accréditation s’appuie sur les standards :
  • de la norme ISO 17021-1
  • de la norme ISO 27006
L’accréditation atteste de la compétence, de l’impartialité et de la fiabilité d’un organisme à vérifier la conformité à des exigences établies et formalisées.
 
Le Référentiel de certification est basé sur des normes internationales existantes :
  • les exigences de la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information »,
  • des  exigences de la norme ISO 20000 « système de gestion de la qualité des services»,
  • des exigences de la norme ISO 27018 « protection des données à caractère personnel »,
  • et des exigences spécifiques à l’hébergement de   données de santé.
La certification atteste du respect par l’hébergeur des exigences requises pour assurer la sécurité et la confidentialité des données de santé dans le cadre de son service d’hébergement de données de santé.

Ces référentiels doivent encore être approuvés par arrêté ministériel, ce qui pourrait engendrer quelques ajustements mineurs.
 

21 décembre 2017 : l’ASIP Santé répond à vos questions sur cette nouvelle procédure


Le jeudi 21 décembre 2017, l’ASIP Santé organise un atelier destiné aux industriels sur l’évolution de la procédure de certification de l’hébergement de données de santé : présentation des grands principes et réponses aux questions.
Pour s’inscrire, cliquez ici