1 / 16

Décret du 15 mai 2007 dit « Décret Confidentialité » Hiep VU THANH Bureau des systèmes d’information hospitaliers (DHOS/

Journée Politique de Sécurité & Décret Confidentialité ARH de Poitou-Charentes - 23 janvier 2009. Décret du 15 mai 2007 dit « Décret Confidentialité » Hiep VU THANH Bureau des systèmes d’information hospitaliers (DHOS/SDE/E3). Sommaire. Présentation générale du décret confidentialité

kieve
Download Presentation

Décret du 15 mai 2007 dit « Décret Confidentialité » Hiep VU THANH Bureau des systèmes d’information hospitaliers (DHOS/

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Journée Politique de Sécurité & Décret ConfidentialitéARH de Poitou-Charentes - 23 janvier 2009 Décret du 15 mai 2007dit « Décret Confidentialité »Hiep VU THANHBureau des systèmes d’information hospitaliers (DHOS/SDE/E3)

  2. Sommaire Présentation générale du décret confidentialité Décret Confidentialité : opportunités et freins Démarche d’accompagnement Programme d’accompagnement Conclusion

  3. Présentation du décret «Confidentialité» Les PS libéraux, les réseaux de santé, les ES et tout organisme délivrant des prestations médicales doivent se conformer à des référentiels fixés par arrêté du Ministre pris après avis de la CNIL. Ces référentiels déterminent les fonctions de sécurité et leurs niveaux d ’exigence nécessaires à la conservation, au traitement et à la transmission de données de santé à caractère personnel (DPS) sur support électronique Utilisation de la CPS pour identifier et authentifier les PS accédant aux DPS

  4. Dates d’application Délai de mise en conformité aux référentiels = 1 an à compter de la publication de l ’arrêté Délai de mise en œuvre de l’authentification par carte CPS = 3 ans à compter de la publication du décret, donc obligatoire à compter du 15 mai 2010

  5. Le projet d’arrêté : le référentiel de confidentialité Le projet d ’arrêté est en cours de concertation Le projet d ’arrêté prévoit dans son article 2 que : les entités doivent mettre en œuvre une organisation , une politique et des procédures de protection de la sécurité, basées sur une analyse de risques appropriée les entités doivent mettre en œuvre des SI conformes au référentiel fixé en annexe

  6. Le projet d’arrêté : le référentiel de confidentialité Le référentiel comporte une cinquantaine de règles regroupant par thèmes : gestion du consentement du patient contrôle des accès aux données médicales authentification des utilisateurs auditabilité transmission des données médicales sur un réseau ouvert exploitation du système documentation 3 niveaux de règles : obligatoire, recommandé , conseillé

  7. Décret Confidentialité : opportunités Création d’un espace de confiance numérique favorisant les échanges de données médicales Levier de mise en œuvre d ’une politique et d ’une organisation pour gérer la sécurité du SIH Urbanisation du SIH, modernisation des infrastructures Développement d’offres de produits de sécurité industriels pérennes et adaptés au secteur de la santé

  8. Décret Confidentialité : freins Mobilisation difficile de la Direction de l ’établissement => projet considéré comme un projet technique et non comme un projet transversal Faible maturité sur la sécurité des SIH Faible utilisation actuelle du système CPS dans les établissements de santé

  9. Démarche d’accompagnement Une expérimentation pour rechercher un nombre limité de solutions techniques et organisationnelles adaptées aux différentes typologies d’ES Une généralisation progressive respectant la stratégie régionale Une mutualisation Des compétences : par ex. les RSSI Des achats de produits ou services Une démultiplication de l’expertise par transfert de compétences aux industriels et aux relais régionaux

  10. Dispositif d ’accompagnement Un plan de communication piloté par la DHOS et articulé avec : celui sur les réformes hospitalières ceux du GMSIH et du GIP-CPS Apport d’expertise (outils et méthodes) du GMSIH et du GIP-CPS : Aux chefs de projets des ES dans l’étape d’expérimentation Aux chefs de projets régionaux dans les étapes de généralisation

  11. Programme d’accompagnement : 3 étapes + système CPS déployé Mettre au point les solutions techniques et organisationnelles indispensables à la généralisation ETAPE Expérimentation 24 ES – suivi national Doter les établissements de politiques de sécurité & déployer progressivement les solutions de l ’étape 1 ETAPE Pré généralisation Environ 200 ES – suivi en région Généralisation de la mise en œuvre du décret de confidentialité et du système CPS ETAPE Généralisation Tous les établissements – suivi en région T0 oct 07 T1 S2 08

  12. Objectifs de l’étape d’expérimentation 2 objectifs qui s’autoalimentent : Mise en œuvre significative des architectures techniques et organisationnelles de sécurité/confidentialité avec authentification forte CPS au sein des 24 établissements expérimentateurs, et généralisables 7 CHU, 5 CH, 3 cliniques, 4 CHS, 4 PS-PH dont 2 spécialisés, et 1 CLCC, répartis sur 15 régions avec échange au niveau du groupe de travail et apport d’expertise du GIP-CPS et du GMSIH Recherche de solutions Déploiement de solutions Evaluation de solutions Ergonomie (facilité d’usage et de déploiement) Sécurité conciliant … Coûts optimisés Adaptation aux différents types d’établissements

  13. Objectifs de l’étape d’expérimentation Préparation de guides/référentiel, élaborés sur la base des déploiements en cours, pour les autres établissements (phases de généralisation) Document de cadrage du projet Architectures de sécurité fonctionnelles et techniques Gestion de l’identité, des accès et des habilitations, traçabilité Méthodes et gestion de carte dans l’établissement (organisation / outils) Commande et remise de la carte initiale au professionnel Gestion de la carte au quotidien (oubli/perte/vol…) Accompagnement au changement et formation Circuits d’échanges entre l’établissement et le GIP-CPS (procédures, outils…) Retour d'expériences – guides de bonnes pratiques – CCTP type

  14. Démarche pour l’étape de pré-généralisationCadrage en cours Nombre de régions : 4 à 8 régions, 200 ES Conception par l’ARH du programme régional de généralisation comportant en 2009 une première vague de lancement, un projet regroupant au min. 20 ES Périmètre du projet mutualisé : Rédaction d’une politique de sécurité, plan d’action et organisation associés Mise en place des structures de pilotage du projet de l’ES  Mise en conformité au décret Confidentialité » Étude et optimisation du processus de gestion des identités des PS Déployer les solutions retenues de l ’étape d ’expérimentation ETAPE Pré généralisation

  15. Démarche pour l’étape de pré-généralisationCadrage en cours • Pilotage et animation par l’ARH • Coordination nationale de l’étape de pré-généralisation • Appui des MOA régionales (GCS, GIE, GIP ) à l’ARH pour la conception et le suivi du programme régional • Appui technique et méthodologique du GMSIH et du GIP-CPS à l’ARH et à la MOA régionale • Relais régionaux pour accompagner les ES : SRIH ou SSII • Transfert du savoir-faire GMSIH et GIP-CPS (outils et méthodes) aux<relais régionaux

  16. Conclusion Le rôle des ARH est primordial dans la conception du programme régional de généralisation et de son pilotage La mutualisation est cruciale pour : Partager les compétences rares Déployer plus vite les Solutions Réduire les coûts d’acquisition H2012 est un possible levier de financement Mobilisation forte du GMSIH et du GIP-CPS pour appuyer les ES et les régions

More Related