Mais au-delà de la mission de santé publique, ils endossent, de fait, aussi une mission de protection de leurs patients et en particulier de protection des données sensibles qu’ils collectent sur ceux-ci : les données de santé à caractère personnel.
Parce que l’hôpital est toujours plus numérisé, parce qu’il fait appel à toujours plus de prestataires externes, les risques existent : risque de perte des données, de fuite de données, de corruption de ces données. C’est toute la confiance dans le secteur de la santé qui est en jeu.
L’ASIP Santé, agence créée en 2009 notamment pour accompagner l’émergence de technologies numériques dans le secteur de la santé tout en veillant au respect des droits des patients, a défini le référentiel d’agrément des hébergeurs de données de santé à caractère personnel (HDS).
Ce référentiel organise le dépôt et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité, de les mettre à la disposition des personnes autorisées selon des modalités définies par contrat, et de les restituer en fin de contrat. Cet hébergement ne peut avoir lieu qu’avec le consentement exprès de la personne concernée.
Il est donc essentiel pour les candidats à l’agrément de l’ASIP Santé – délivré pour une durée de 3 ans renouvelable – de clarifier ses exigences et d’identifier les solutions de cyber-sécurité des données aptes à contribuer à leur conformité règlementaire.
Les hébergeurs doivent donc se conformer à de nombreuses exigences et mettre en œuvre une série d’actions pour pouvoir obtenir leur agrément afin d’héberger des données de santé à caractère personnel.
Bien sur, si un établissement héberge lui-même ses dossiers hospitaliers, il n’a pas besoin d’obtenir un agrément. En revanche, si l’établissement met son système d’hébergement au service d’autres établissements de santé, il est soumis à la procédure d’agrément.. Il en est de même pour les établissements de coopération sanitaire (groupements de coopération sanitaire – GCS -, communautés hospitalières ...) qui mettent à disposition de leurs membres leur système d’hébergement : ils sont soumis à cette procédure d’agrément.
Dans ce contexte, il est nécessaire de bien penser à gérer le contrôle des accès et la traçabilité des utilisateurs à privilèges
Nous pouvons prendre par exemples, la gestion des mots de passe, le contrôle et de traçabilité des accès des prestataires externes, des administrateurs internes à l’entreprise et des super-utilisateurs. Cela permet également d’enregistrer les sessions d’administration et de les visionner ultérieurement en cas de besoin (audit, incident,...).
Enfin, les responsables de la sécurité du système d’information et hébergeurs peuvent gérer facilement le turn-over de leurs équipes, sans craindre de laisser l’accès aux données hébergées
Parce qu’elle permet de mettre en place une véritable politique de sécurité répondant aux exigences technologiques et légales, l’approche « Privileged Access Management » est donc également à intégrer dans les projets d’hébergement des données de santé à caractère personnel.
Il ressort donc de l’ensemble de ces éléments qu’héberger des données de santé à caractère personnel nécessite de mettre en place des dispositifs industriels associant technologies, approche métier et contraintes légales.