Actualité / Actualité de la santé

DGOS - Mémento sur la cybersécurité à l’usage des directeurs d’établissements de santé

23 janvier 2018

La direction générale de l’offre de soins (DGOS) a publié un mémento sur la cybersécurité à l’usage des directeurs d’établissements de santé pour "les éclairer sur la sécurité des systèmes d’information, ses enjeux, le contexte réglementaire et les actions clés à réaliser", a-t-elle annoncé le 9 janvier dans un communiqué.

Ce mémento de 40 pages préfacé par la directrice générale de l’offre de soins, Cécile Courrèges, se divise en quatre parties.

Dans la première, la DGOS insiste sur la nécessité de sécuriser les systèmes d’information (SI) des établissements de santé publics, comme privés, "afin de maintenir la confiance des patients dans le système de santé" et des professionnels dans les outils utilisés.

En plein chantier des groupements hospitaliers de territoire (GHT) -qui implique notamment la mutualisation des SI- les directeurs des établissements sont invités à "installer une démarche de gestion du risque numérique", en analysant les situations à risques pour évaluer les impacts potentiels.

Dans le cadre du programme Hôpital numérique, piloté par la DGOS, tous les établissements de santé doivent notamment disposer d’une cartographie des risques liés à son SI.

Dans une deuxième partie, le mémento rappelle les fondements du Règlement européen pour la protection des données (RGPD), transposé dans le droit français et applicable à partir du 25 mai 2018, qui définit ce que sont les "données à caractère personnel concernant la santé".

Le RGPD rend obligatoire la désignation d’un délégué à la protection des données personnelles (DPO) dans les établissements de santé publics, comme privés, à compter de 2018 et la notification d’incidents liés à la protection des données de santé à la Commission nationale de l’informatique et des libertés (Cnil).

Par ailleurs, la DGOS dresse les modalités d’hébergement de données de santé, encadrées par l’article L1111-8 du code de la santé publique et rappelle que tout hébergeur doit être agréé ou certifié (à compter de 2018) à cet effet.

Cette deuxième partie du mémento revient également sur le déploiement de l’identifiant unique de santé (NIR ou numéro de sécurité sociale) et la mise en oeuvre d’une politique d’identito-vigilance au sein des établissements pour assurer la sécurité du patient : deux mesures issues du programme Hôpital numérique.

Engager la gouvernance dans le processus de sécurisation

Dans une troisième partie dédiée au rôle de la gouvernance des établissements de santé en matière de cybersécurité, le mémento insiste sur "le soutien de la direction" comme premier pas vers la réduction des risques.

Cela doit s’exprimer "dans le cadre d’une véritable politique de sécurité de l’établissement, élaborée par un responsable sécurité du système d’information (RSSI), dûment mandaté", est-il rappelé.

Dans ce travail, l’établissement de santé trouve ses grandes orientations au sein des référentiels nationaux produits dans le cadre de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) élaborée par l’Agence des systèmes d’information partagés de santé (Asip santé).

"Il revient à la politique de sécurité interne à l’établissement de fixer un cadre favorable au respect de l’ensemble des règles de sécurité que les procédures de certification décrivent", précise le mémento.

Enfin, une dernière partie revient sur le nouveau dispositif de signalement obligatoire des incidents de sécurité des systèmes d’information de santé, mis en place depuis le 1er octobre 2017.

Après le signalement auprès de l’agence régionale de santé (ARS) concernée, de l’Asip Santé et du haut fonctionnaire de défense et de sécurité (HFDS) ou du fonctionnaire de la sécurité des systèmes d’information (FSSI), l’établissement dispose désormais d’un accompagnement opérationnel dans la résolution des incidents.

Source : TecHopital, par Wassinia ZIRAR, le 12/01/2018

Envoyer un message à un ami : X
code

Nos domaines d'activité

Selectionner un domaine
Accueil du patient Activités interventionnelles Bientraitance Biomédical Bloc opératoire Continuité des soins Développement durable Dossier patient Droits du patient Education thérapeutique EPP Fin de vie Fonctions logistiques et infrastructures Gestion des ressources financières Gestion des ressources humaines Identification du patient Imagerie médicale Information du patient Laboratoire Management de la qualité et de la sécurité des soins Offre de soins Organismes institutionnels Outils et méthodes Qualité et Gestion des risques Pilotage interne Prise en charge de la douleur Prise en charge médicamenteuse Prise en charge nutritionnelle Prises en charges particulières Projet de soins personnalisé Psychiatrie Qualité et sécurité de l’environnement Risque infectieux Risque transfusionnel Risques professionnels Santé publique Satisfaction des usagers Sécurité des biens et des personnes Sortie du patient et coordination de la prise en charge Spécialités SSR Stratégie de l’établissement Système d’information Urgences
À télécharger