Questions fréquentes

La liste des éléments et mentions obligatoires à faire figurer dans la facture sont détaillés au chapitre 12 du document "SONS-Modeles_de_documents-BDC-MOM-VA.pdf" disponible en cliquant ici

Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous candidatez.

Toutefois, si votre solution est éligible au mécanisme d’équivalence des preuves, vous pourrez être exempté du dépôt de certaines preuves communes au dispositif candidat (par exemple : Médico-social DUI, Sage-femme / Paramédical), dès lors que vous avez déjà obtenu un référencement Vague 2 sur un autre dispositif comportant ces mêmes exigences. Pour cela, vous pouvez consulter la matrice d'équivalence correspondant à votre couloir candidat sur le site de l'ANS. 

L'éditeur doit à minima préciser les éléments suivants :

• pour quelle raison des pièces d’identité sont-elles stockées et dans quel(s) cas un accès ultérieur à ces documents est-il prévu ?
• les principes du RGPD sont-ils appliqués (protection des données stockées, information du patient, etc.) ?
• algorithme de chiffrement utilisé et taille des clés,
• modalités de gestion de la durée de conservation,
• précisions sur la "gestion des secrets" :
  • de quelle façon les clés de chiffrement sont-elles générées ?
  • de quelle façon les clés de chiffrement sont-elles protégées ?
  • qui peut y accéder ?
  • comment sont-elles gérées dans le temps ?
  • comment s’exécute le processus de déchiffrement d’un document préalablement chiffré lorsque celui-ci est nécessaire ?

La liste des documents qui doivent être produits et envoyés, ainsi que les formats attendus et les liens vers les volets CI-SIS, sont listés dans l'onglet "Liste des documents Ségur" présent dans le Référentiel d'Exigences (REM), disponible sur la page de votre dispositif  présent sur le site de l'ANS : https://esante.gouv.fr/ens/segur-numerique-sante/vague-2

Non, l’ordre d’affichage des traits n’est pas une exigence. Néanmoins, il convient de respecter l’exigence SI 11 du RNIV : « Les traits d’identités affichés conformément à la réglementation doivent pouvoir être facilement distingués, sans risque d’équivoque, par les acteurs concernés ». 

Vous devez faire un groupement d'éditeurs pour répondre à tout le périmètre des exigences, il faut cocher "OUI".

A noter qu'un composant additionnel ne doit pas faire l’objet d’un coût supplémentaire pour le client. 

En vertu du RGPD vous devez déjà tracer l’accès aux données de santé à caractère personnel. Le fait de rajouter l’INS à ces données de santé à caractère personnel ne change rien. Il sera simplement vérifié que cette traçabilité est faite. Cette exigence sera vérifiée en s'assurant que lorsqu'un acteur accède au dossier d'un usager - doté ou non d'une INS (ouvre le dossier de cet usager) - cet accès est tracé dans la solution.

L’opérateur, afin d’être en mesure d’obtenir les certificats serveur qui l’authentifieront dans l’Espace de Confiance, doit renseigner son FINESS juridique dans le contrat d'adhésion. Les établissements reliés au FINESS géographique appartiendront à la structure mère enregistrée sous le FINESS juridique.

Ainsi, l'enregistrement du FINESS juridique suffit dans le cas où une structure a plusieurs établissements.

Quelle est la différence entre FINESS juridique et géographique ?

• Le numéro FINESS juridique, qui porte l'immatriculation des entités juridiques (EJ) régissant les établissements sanitaires, sociaux, médico-sociaux, correspond à la notion de personnalité morale et est associé au SIREN de l'entreprise au moment de son enregistrement.
• Le numéro FINESS géographique qui assure l’immatriculation des établissements géographiques (ET) correspond à une implantation géographique et est caractérisé par une et une seule catégorie d’établissement. Chaque numéro FINESS géographique est rattaché à une et une seule entité juridique.
• Cependant, il convient de noter que la logique d’attribution du numéro FINESS géographique diffère de celle du numéro SIRET, et que plusieurs numéros FINESS géographiques peuvent cohabiter au sein d’un même SIRET. En effet, à une même adresse, on peut retrouver plusieurs « établissements géographiques » FINESS (EPHAD, centre de formation, laboratoire, centre hospitalier, …), relevant d’une catégorie d’établissement différente mais appartenant à une même entité juridique.
• Le SIRET porté par le numéro FINESS est celui de l’établissement au moment de son enregistrement et de la parution de l’arrêté lui attribuant son numéro FINESS.
   

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après.

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérées comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.
• En outre, un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.
• Enfin, des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

Les modalités de traitement des modifications de structures sont décrites dans les AF.