Hébergement de données de santé à caractère personnel

Documents pareils
La Révolution Numérique Au Service De l'hôpital de demain JUIN 2013 Strasbourg, FRANCE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

CERTIFICATION CERTIPHYTO

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

LOI N portant Code des Postes

Inrap / Procédures réglementaires

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

REGLEMENT DE LA CONSULTATION (R.C.)

LIVRET SERVICE. Portail Déclaratif Etafi.fr

La Télémédecine dans le cadre de la Plateforme Régionale Santé de Martinique

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

RÉPUBLIQUE FRANÇAISE. Ministère de l économie et des finances PROJET D ORDONNANCE. relatif au financement participatif. NOR: EfIXI4O6454RJRose-1

Rôle de l Assurance Qualité dans la recherche clinique

GMS-Santé 2008 La Responsabilité du médecin du travail

Connaître les Menaces d Insécurité du Système d Information

Règlement d INTERPOL sur le traitement des données

CONVENTION PORTANT CREATION D UNE COMMISSION BANCAIRE DE L AFRIQUE CENTRALE

Leçon 2. La formation du contrat

INSTALLATION DE LA NOUVELLE AUTORITÉ DE CONTRÔLE PRUDENTIEL

Responsabilité de l'expert-comptable

Procédure ouverte avec Publicité Evaluation de projets innovants pour une pré-maturation et Formation à une méthode d analyse de projets innovants.

Consultation publique PARL OMPI EXPERTS PRESENTATION ET ETAT D AVANCEMENT DU PROJET PARL OMPI EXPERTS

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

Les aspects paiements de la loi sur l ouverture à la concurrence du marché des jeux d argent et de hasard en ligne

LOI du 21 novembre sur la Cour des comptes LE GRAND CONSEIL DU CANTON DE VAUD

TRAITEMENT DU SURENDETTEMENT. Évolutions résultant de la loi portant réforme du crédit à la consommation

Marché public de prestations intellectuelles ACTE D ENGAGEMENT. OBJET DU MARCHÉ Diagnostic éclairage public intercommunal POUVOIR ADJUDICATEUR

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

TABLEAU DE FONCTIONS ET ACTIVITES COMPATIBLES AVEC LE STATUT D EXPERT-COMPTABLE

GUIDE DES PROCEDURES DU DISPOSITIF DE CREATION DE NOUVELLES EXPLOITATIONS AGRICOLES ET D ELEVAGE

La responsabilité des directeurs d unité

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

GUIDE LA PUB SI JE VEUX!

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

CAHIER DES CLAUSES PARTICULIERES. Transports sanitaires

Union des Métiers et des Industries de l Hôtellerie LE PERMIS D EXPLOITATION ET LE PERMIS DE VENTE DE BOISSONS ALCOOLIQUES LA NUIT

CIRCULAIRE AUX INTERMEDIAIRES AGREES N

CONVENTION DE PARTENARIAT AGENCES

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Les professionnels du secteur de l assurance au Luxembourg

Associations Dossiers pratiques

LA FAUTE MEDICALE : L assurance de responsabilité civile UIA SOFIA 2014

Stratégie de déploiement

Votre droit au français

STRATÉGIE DE SURVEILLANCE

Contractualiser la sécurité du cloud computing

TABLEAU DE BORD DES REFORMES PAR PRIORITE

autonome loi 1901 A. CREATION DE L ASSOCIATION Une Coopérative scolaire peut se constituer en Association autonome.

Synthèse de la CNCH du 19 juin 2008

Le Dossier Médical Personnel et la sécurité

Conditions d utilisation du service

Entre : - Le Professionnel (raison sociale) [ ] numéro SIREN adresse du siège social numéro d habilitation numéro d agrément

Cadre juridique de la Protection des Données à caractère Personnel

Décrets, arrêtés, circulaires

LOI N du 16 juin 1986 instituant une Caisse des Règlements Pécuniaires des Avocats (CARPA)

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

RÉFORME DES AUTORISATIONS D URBANISME

SOMMAIRE GENERAL LES TEXTES FONDAMENTAUX... 5 LES TEXTES SPECIFIQUES Préambule... 3

Questionnaire de souscription Responsabilité Civile Professionnelle A2D ASSURANCES Beauté - Esthétique

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» REGLEMENT DE CONSULTATION

BREVET DE TECHNICIEN SUPERIEUR

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Permis d exploitation et de la concession minière

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

Nomination et renouvellement de MCF et PR associé à temps plein

«Marketing /site web et la protection des données à caractère personnel»

Arrêtent : Article 2 : La sélection des candidats s effectue selon les critères ci-après :

RENDEZ-VOUS D AUTOMNE DE L ADRECA. 17 novembre 2003

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Décret du 25 Avril 2002 modifié pris pour l application de la loi du 4 Janvier 2002 relative aux musées de France

Le CHARTE DE BON USAGE DES RESSOURCES INFORMATIQUES DU

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

REGLEMENT DE STAGE DE COMMISSARIAT AUX COMPTES

ACHETER OU VENDRE UNE ACTIVITE DE COURTAGE : LA MÉTHODE POUR RÉUSSIR

Introduction au droit La responsabilité professionnelle

ANNEXE DETAILLEE DU CV DANS LE CHAMP SOCIAL ET MEDICO-SOCIAL

Les attestations. Auxerre, le 19 avril Fabien AURIAT. Florian SÉMENTA. CETE de Lyon/DLA/GBA/CIBEE. 27 septembre 2010

Algérie. Loi relative aux associations

LA VERSION ELECTRONIQUE FAIT FOI

Les clauses «sécurité» d'un contrat SaaS

REUNION D'INFORMATION SUR L'ACTIVITE DE GUIDAGE ET DE TRANSPORT

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

FORMATION OBLIGATOIRE A L HYGIENE ALIMENTAIRE

10 juin Pharmagest - Villers-Lès-Nancy. Inauguration DataCenter

Les articles modifiés par la loi Macron au 30 janvier 2015

Rapport technique n 8 :

Nom du candidat :... (nom de famille suivi éventuellement du nom du conjoint)

Marchés publics de fournitures et services EMISSION DE CARTES D ACHATS ET PRESTATIONS ANNEXES CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Texte conventionnel. La Commission paritaire nationale (CPN), créée et organisée par les articles 59 et 60 de la convention :

Services. Acte d'engagement. Objet du Marché FOURNITURE DE MATERIEL INFORMATIQUE ET MAINTENANCE DU PARC INFORMATIQUE

Règlement de la Consultation

ACTE D ENGAGEMENT MISE EN ŒUVRE DE UN «NRA ZONE D OMBRE» SUR LE TERRITOIRE DE LA COMMUNE D OPPEDE

GUIDE sur le bon usage

CHARTE ETHIQUE ACHATS

Rappel chronologique. Projet de loi présenté au Conseil des ministres du 26 juin Loi votée les 20 et 21 février 2014.

CAHIER DES CLAUSES PARTICULIERES

Transcription:

Hébergement de données de santé à caractère personnel cadre juridique Kahina HADDAD, juriste santé/tic ASIP Santé Paris Innovation BOUCICAUT 19 mai 2016 19 mai 2016

L ASIP Santé, agence nationale au service de la santé numérique 4 grandes missions Son statut juridique L Agence des Systèmes d Information Partagés de Santé a été créée en 2009, sous la forme d un groupement d intérêt public. Les membres de l Assemblée générale L Etat, l Assurance Maladie, la Caisse Nationale de Solidarité pour l autonomie (CNSA). 1

- Cadre juridique et procédure - Suivi de l agrément - L évolution de la procédure 19 mai 2016 3

Cadre juridique de la procédure d agrément 1- Le principe de l agrément des hébergeurs de données de santé à caractère personnel est prévu par la loi : article L.1111-8 du code de la santé publique. Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l occasion d activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte d'un tiers, doit être agréée à cet effet La loi de santé a élargi le champ d application de l article L.1111-8 L hébergement exige une information claire de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s y opposer. La loi de santé a supprimé l obligation de recueil du consentement exprès. Les hébergeurs et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l article 226-13 du code pénal. 19 mai 2016 4

Cadre juridique de la procédure d agrément Les questions à se poser pour savoir si l obligation d être agréé ou l obligation de recourir à un hébergeur agréé s applique : Qui? Identifier les différents acteurs Quoi? Lister de façon exhaustive les catégories de données collectées Pourquoi? Finalité d utilisation des données 19 mai 2016 5

Cadre juridique de la procédure d agrément 2- La procédure d agrément pour l hébergement de données de santé sur support informatique est fixée par le décret du 4 janvier 2006 pris après avis de la CNIL et des ordres professionnels Le déroulement de la procédure d agrément Analyse du dossier par la CNIL qui est chargée d émettre un avis dans un délai de deux mois renouvelable une fois. La CNIL se prononce sur les garanties présentées par le candidat à l agrément en matière de protection des personnes et de sécurité des données de santé. Instruction du dossier par le comité d agrément des hébergeurs (CAH- organe consultatif créé par le décret qui en fixe la composition) après réception de l avis de la CNIL, qui rend à son tours un avis (dans un délai d un mois renouvelable une fois). Le CAH examine le dossier sous trois volets: économique et financier; éthique et juridique; sécurité et technique. Les deux avis sont transmis au ministre en charge de la santé qui rend sa décision (dans un délai d un mois renouvelable une fois): l agrément est délivré pour trois ans. 19 mai 2016 6

Cadre juridique de la procédure d agrément Les conditions à remplir pour être agréé hébergeur de données de santé à caractère personnel Le contenu du dossier de demande d agrément est fixé par l article R 1111-12 du code de la santé publique : sont ainsi évalués la capacité financière du candidat, le type de prestations proposée, le niveau de sécurité et les conditions du respect des principes de la protection des données personnelles et des droits des personnes. La prestation d hébergement est un contrat conclu entre l hébergeur et son client et dont le contenu est fixé précisément par l article R1111-13 du code de la santé publique. Le contrat doit clairement définir la prestation objet de la demande d agrément. L équilibre des relations et le partage de responsabilités entre l hébergeur et son client doivent être clairement dessinées dans le contrat. Le texte exige la présence chez l hébergeur d un médecin, garant du secret professionnel. 19 mai 2016 7

Cadre juridique de la procédure d agrément Le référentiel de constitution des dossiers de demande d agrément Les exigences du décret ont été traduites dans le référentiel de constitution des dossiers de demande d agrément réalisé en concertation avec les opérateurs, les industriels, les maîtrises d ouvrage régionales du secteur de la santé et la CNIL. Le référentiel est composé de six formulaires standards qui couvrent l ensemble du recueil d informations exigé par le décret (P1,P2,P3,P4,P5 et P6), de deux formulaires d engagement relatifs à l auto-évaluation et aux contrôles (C1, C2) et d un guide détaillé d aide aux candidats. L agrément porte sur une prestation particulière, objet du contrat soumis au contrôle de la CNIL et du CAH : aucun organisme n est agréé en général. Un organisme peut donc être agréé plusieurs fois pour différents types de prestations. 19 mai 2016 8

Cadre juridique de la procédure d agrément 3- La procédure d agrément pour l hébergement de données de santé sur support papier est fixée par le 2011-246 du 4 mars 2011 Le déroulement de la procédure d agrément sur support papier (compétence ministère de la culture) Analyse du dossier par le service interministériel des archives de France (SIAF) qui apprécie sur pièces et sur place les sites physiques au sein desquels seront conservées les données de santé (sécurité physique et mesures de confidentialité des données). Décision d agrément délivrée par le ministre en charge de la culture pour une durée de 5 ans. A l issue des 5 ans, l hébergeur doit déposer un nouveau dossier de demande d agrément. 19 mai 2016 9

- Cadre juridique et procédure - Suivi de l agrément - L évolution de la procédure 19 mai 2016 10

Le suivi de l agrément 1- Le rapport annuel d auto-évaluation Il permet de porter à la connaissance du ministre les améliorations et modifications apportées au service d hébergement de données de santé à caractère personnel. Il ne peut modifier le périmètre du service pour lequel l hébergeur est agréé et par voie de conséquence constituer un avenant au contrat d hébergement. Les conclusions des rapports d auto-évaluation sont envoyées aux hébergeurs. Il existe trois types de conclusions : Les évolutions apportées par l hébergeur modifient substantiellement le périmètre de la prestation agréée l hébergeur doit déposer un nouveau dossier de demande d agrément. Le rapport d auto évaluation est imprécis demande de précisions. Le rapport d auto évaluation est précis et ne fait pas état de modification du périmètre de la prestation agréée il est pris acte de sa réception. 19 mai 2016 11

Le suivi de l agrément 2- Audits et contrôles Les contrôles de la CNIL La CNIL a le pouvoir de diligenter des contrôles auprès de tout responsable de traitement : article 44 de la loi Informatique et Libertés. Les hébergeurs de données de santé - agréés ou pas - font partie du périmètre de contrôle de la CNIL. Les sanctions éventuelles sont celles prévues par loi du 6 janvier 1978. Les audits de l IGAS - Corps de contrôle naturel de l administration, le législateur a confié à l IGAS une mission d audit des hébergeurs agréés. 19 mai 2016 12

Le suivi de l agrément 3- Dossiers de renouvellement d agrément Six mois avant le terme de la période d agrément (3 ans) l hébergeur doit déposer une demande de renouvellement (article R 1111-15 CSP) Cette demande comprend : Les documents mentionnés à l article R 1111-12 du code de la santé publique : comptes prévisionnels de l activité d hébergement, trois derniers bilans, composition de l actionnariat et les comptes de résultat et bilans liés à l activité d hébergement depuis le dernier agrément. Un récapitulatif des modifications intervenues depuis la dernière demande d agrément. Un audit externe réalisé aux frais de l hébergeur, attestant de la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l article R. 1111-14. Si l hébergeur souhaite modifier le périmètre de la prestation agréée, il doit déposer un nouveau dossier de demande d agrément et non une simple demande de renouvellement d agrément. 19 mai 2016 13

- Cadre juridique et procédure - Suivi de l agrément - L évolution de la procédure 19 mai 2016 14

L évolution de la procédure La procédure d agrément pour l hébergement de données de santé sur support électronique fixée par le décret du 4 janvier 2006 a vocation à être remplacée par une procédure de certification Une réforme par voie d ordonnance : l article 204-I-5 de la loi de santé habilite le Gouvernement à agir par voie d ordonnance afin de remplacement l agrément par une évaluation de conformité technique à un référentiel de certification, délivrée par un organisme certificateur accrédité, choisi par l hébergeur. Le référentiel proposé est basé sur des normes internationales existantes Les exigences de la norme ISO/CEI 27001 «système de gestion de la sécurité des systèmes d information», Des exigences de la norme ISO/CEI 20000 «système de gestion de la qualité des services», Des exigences de la norme ISO/CEI 27018 «protection des données à caractère personnel», Et des exigences spécifiques à l hébergement de données de santé. 19 mai 2016 15

Merci de votre attention

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back