Différence entre l’agrément et la certification pour l’hébergement de données de santé (HDS)

La certification remplace l’agrément . Elle repose sur un référentiel et une procédure de certification : un organisme certificateur procède à l’évaluation de la conformité au référentiel ; il délivre un certificat de conformité pour une durée de 3 ans. Les dossiers de demande d’agrément déposés avant le 31 mars 2018 sont instruits selon l’ancienne procédure.

Quelle différence est faite entre échange et partage ?

Le terme échange désigne tout ce qui est en lien avec les services de messagerie : les données transitent vers une ou plusieurs destination(s) identifiée(s). Le terme partage regroupe les activités de stockage des données et la gestion des accès à celle-ci : les données sont à un seul endroit et sont consultées par plusieurs acteurs non identifiés lors de la mise en partage (contrairement à l’échange avec plusieurs destinataires).

Quelle place est données à l'INS-C dans la doctrine du numérique en santé ?

Un identifiant calculé (INS-C) , attribué au travers d’un algorithme à partir d’informations lues à partir de la carte Vitale de l’assuré, a d’abord été utilisé de façon transitoire dans l'attente de l'évolution des textes permettant l'utilisation d'un identifiant adapté. L'évolution des textes permet aujourd’hui la mise en œuvre de l’INS (Identité Nationale de Santé). L’INS-C est donc remplacé par l'INS c'est à dire le NIR et les cinq traits d'identité qualifiés (nom de naissance, prénom(s), date de naissance, sexe, lieu de naissance).

Référentiels sectoriels portés par la cible de la doctrine du numérique en santé

La doctrine du numérique en santé identifie plusieurs référentiels de données qui chacun portent une finalité distincte : le RPPS étendu (ou RPPS+) afin de porter l'identification de toutes les personnes physiques dans leur rôle d'acteur de santé (tout type de professionnel ou assistant du secteur) ; le FINESS refondu (ou FINESS+) afin de porter l'identification de toutes les personnes morales de santé (tout établissement et entité juridique du secteur) ; le ROR afin de décrire l'offre de santé au sein d'un établissement (spécialités, capacités) ou d'un cabinet.

Y a-t-il une liste officielle des pays qui sont considérés comme à risque ?

La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé. Le lien, indiqué dans le référentiel, est rappelé ici : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde