Usages – Mise en conformité
Feuille de route nationale des systèmes d’information hospitaliers
Dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique, la DGOS a lancé le programme HOP’EN qui constitue la nouvelle feuille de route nationale des systèmes d’information hospitaliers à 5 ans. L’objectif est d’aider les établissements à atteindre le palier de maturité nécessaire pour leur permettre de répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients.
Par rapport au Plan Hôpital Numérique, on retrouve deux nouveaux domaines, D6 « Communiquer et échanger avec les partenaires » (DMP, MS Santé, annuaire), et D7 « Mettre à disposition des services en ligne aux usagers et patients » (préadmission, rendez-vous et paiement en ligne) qui visent à développer les liens avec les autres acteurs du système de santé et les usagers. On retrouve dans le programme HOP’EN un renforcement des exigences issues du Règlement européen relatif à la protection des données (RGPD).
Par ailleurs, le plan «Etablissements et services sociaux et médico-sociaux (ESMS) numérique » (action 20) a pour ambition d’aider les structures médico-sociales à s’inscrire pleinement dans le virage numérique. En effet, pour combler leur retard en matière de systèmes d’information et pallier les difficultés à dégager des budgets suffisants pour conduire à la fois la sécurisation, l’équipement matériel, l’acquisition de logiciels métier et leur déploiement, il est jugé nécessaire d’engager un plan de financement pluriannuel dont l’amorçage serait assuré par la CNSA sur ses fonds propres, et dont la prolongation devra être intégrée dans une programmation budgétaire à 3 ans. Ce plan permettra aussi de donner la visibilité nécessaire aux éditeurs de logiciels. Au-delà du soutien à l’investissement, et dans le but de favoriser l’entrée des établissements et services du médico-social (ESMS) dans le virage de la transformation numérique au sein de logiques territoriales, un dispositif d’accompagnement relatif à l’ensemble des enjeux des systèmes d’information (gouvernance des données, achats, sécurité, interopérabilité, …) devra être élaboré.
Les prérequis
Adista propose d’accompagner les structures de santé dans sa mise en conformité dans le cadre des plans d’accompagnement du gouvernement : Programme Hop’EN, ESMS Numérique, et dernièrement le SUN-ES (Ségur).
| 4 prérequis et 7 domaines | Nos solutions |
|---|---|
| P1 : Identités, mouvements
P2 : Sécurité P3 : Continuité d’activité P4 : Taux de disponibilité des applicatifs P5 : Présence d’une PSSI et existence d’un RSSI P6 : Réalisation régulière d’un audit externe (cybersécurité) |
P2.1 + 2.2 : Oppidom-PaaS, Oppidom-IaaS, Oppidom-Back up, Oppidom-Protect
P3 : Offre multi-DC et PRI P4 à travers nos socles techniques garantissant un taux de disponibilité pour les applicatifs reposant sur nos infrastructures certifiées HDS. Offre Oppidom RADAR (Scan de vulnérabilité récurrente) |
| P3 : Confidentialité
P3.6 : Existence DPO et registre des traitements de DCP |
Oppidom Explore
P3.3 DPO As A Service, DPM manager en mode IaaS (tenue des registres, etc.) via notre partenaire LEXAGONE. |
| P4 : Echange et partage
P4.1 : Capacité du SIH à alimenter le DMP Santé P4.1 : Existence et utilisation d’une messagerie intégrée à l’espace de confiance MS Santé |
Oppidom-Drive & Share
API-DMP et ENS Adista est opérateur MSSanté |
L’article L.1111-8 du code de la santé publique stipule que toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médicosocial pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.
Adista recommande à ses Clients de santé et plus particulièrement les établissements de santé et les éditeurs de logiciels les règles suivantes (non exhaustives) :
| Thématique | Conseils | Ressources |
|---|---|---|
| Politique de Sécurité des Systèmes d’Informations de Santé (PSSI-S) | Elaboration, mise en œuvre et suivi de la PSSI-S
Nomination d’un RSSI |
Outils d’inventaire + Système de GED/WIKI |
| Cartographie du système d’information de santé (SIS) hébergé | Cartographie (avec sa mise à jour) technique, fonctionnelle et organisationnelle des applicatifs métiers ainsi que des bases de données | Outils d’inventaire + Système de GED/WIKI |
| Analyse de risques | Elaboration d’une analyse de risques
Mise en œuvre des mesures de sécurité Suivi du plan d’action |
Méthodes EBIOS, MEHARI |
| Sécurité applicative | Développement d’applications sécurisées | Tests OWASP (pour les applications Web) / Tests d’intrusion / Revue de codes par les pairs / Tests de qualité de code (SONAR) |
| Surveillance du SIS | Supervision technique et fonctionnelle | Outils de supervision (What’s UP, Nagios, CACTI, …) / Sonde applicative |
| Gestion des incidents | Mise en place d’un help desk et service desk | Outils spécifiques de gestion d’incidents (GLPI, …) |
| Urbanisation architecturale du SIS | Uniformiser les composants
Mise à niveau du middleware |
Outils de déploiement automatisé, référentiel de dépôts de composants |
Droits du patient & demande d’accès au dossier médical
La loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé a posé le principe de l’accès direct du patient à l’ensemble des informations de santé le concernant et le décret du 29 avril 2002 a organisé cet accès.
Le patient peut faire sa demande :
> auprès du professionnel de santé qui détient son dossier médical, en cas de prise en charge en dehors d’un établissement de santé
> auprès de la direction de l’établissement, en cas de prise en charge au sein d’un établissement
> auprès de l’hébergeur, avec l’accord du professionnel de santé concerné, et par l’intermédiaire de son médecin, habilité à cet effet.
Le formulaire d’accès aux données de santé est disponible ici