Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Ressources associées

Personne ressource

Etienne MAUGET

Glossaire

 1887 vues

Jusqu’à la publication de la loi n° 2016-41 du 26 janvier 2016 et de l’ordonnance n° 2017-27 du 12 janvier 2017, le cadre réglementaire imposait d’être titulaire d’un agrément pour pouvoir héberger des données de santé à caractère personnel.

[Articles L1111-8 et R1111-9 à R 1111-14 du Code de la Santé Publique]

Depuis lors, une procédure de certification remplace le dispositif antérieur, avec effet mi-2018 et un caractère obligatoire au 01/01/2019.

Disposition légale ou réglementaire Jusqu’en 2018 A partir de 2018, suite à la loi n° 2016-41 et l’ordonnance n° 2017-27
Droits du patient

Obligation d’information préalable du patient et du recueil de son consentement à l’hébergement de ses données de santé

(disposition modifiée à partir de janvier 2016)

Obligation d’information préalable du patient. L’hébergement des données de santé est possible sauf opposition du patient pour un motif légitime.
Nature des obligations de l’hébergeur Etre agréé « Hébergeur agréé de données de santé » par une commission ad’ hoc (comité d’agrément des hébergeurs – CAH) et après avis de la CNIL. Etre certifié par une organisme certificateur accrédité par le COFRAC.
Procédures

La procédure d’agrément consiste pour l’essentiel dans le dépôt d’un dossier comportant, sous forme déclarative, les modalités par lesquelles l’hébergeur estime satisfaire aux obligations qui lui sont faites.

Ce dossier fait l’objet d’un examen par le Comité d’Agrément des Hébergeurs (CAH), qui statue ensuite sur la délivrance de l’agrément.

La procédure de certification consiste en une évaluation de conformité à un référentiel de certification, évaluation effectuée par l’organisme certificateur.
Nature des référentiels d’exigences

Plusieurs formulaires constituent l’essentiel de la candidature et de la procédure d’agrément :

  • Présentation détaillée du candidat à l’agrément et de ses sous-traitants

  • Description des modèles de contrats

  • Présentation du service d’hébergement

  • Présentation des résultats de l’analyse des risques

  • Description des dispositions de sécurité

  • Déclaration CNIL

  • Formulaires complémentaires

Le référentiel de certification s’appuie sur des normes internationales :

  • Norme ISO 27001 « système de gestion de sécurité des SI »

  • Exigences de la norme ISO 20000 « système de gestion de la qualité des services »

  • Exigences de la norme ISO 27018 « protection des données à caractère personnel »

  • Des exigences spécifiques

Calendrier d’entrée en vigueur de la procédure de certification :

  • Au second semestre 2017, publication du Décret définissant la procédure de certification. Le projet de décret a été présenté le 20/07/2017 en vue d’une publication du décret au JO vers la fin de l’année 2017.

  • La date d’entrée en vigueur de la procédure de certification est le 01/01/2018 (ou dans le courant du 1er semestre 2018) et au plus tard le 01/01/2019

  • Tout opérateur non titulaire d’un agrément Hébergeur de Données de Santé (HDS) avant le 01/01/2018 devra entrer dans la procédure de certification

  • Les agréments HDS délivrés avant le 01/01/2018 produisent leurs effets jusqu’à leur terme. (En général, l’agrément est délivré pour une période de 3 ans)

  • Toutefois, pour les agréments HDS arrivant à échéance moins d’un an après l’entrée en vigueur de la procédure de certification, l’hébergeur dispose d’une période de prolongation de ses activités (6 mois), et devra être conforme au dispositif de certification au 01/01/2019.

Cette réponse vous paraît-elle utile ?
Source du document : Experts SI GHT

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à HDS : éléments de démarche pour l'aide à la décision (Apport en connaissance) qui traite de Règlementaire, Hébergement du Système d'Information.

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à HDS : éléments de démarche pour l'aide à la décision (Apport en connaissance) qui traite de Règlementaire, Hébergement du Système d'Information.

Vous êtes perdu ?