À l’heure où le gouvernement planche sur un plan de transformation de l’offre de soins, avec un important volet numérique, les acteurs hébergeant des données de santé se mettent en ordre de marche pour prouver qu’ils le font bien. Zoom sur la certification AFAQ « Hébergement de données de santé ».
Sous-effectif, sous-investissement, qualité des soins, crise des urgences, process lourds et peu dématérialisés… Il faut sauver le système de santé français ! C’est l’objet du « plan de transformation de l’offre de soins » que le Premier ministre Édouard Philippe et sa ministre des Solidarités et de la Santé Agnès Buzyn ont présenté mardi 13 février 2018. Ce plan comporte un volet numérique qui fait écho à l’entrée en vigueur, le 1er avril 2018, d’une nouvelle disposition pour les professionnels hébergeant des données de santé à caractère personnel sur support numérique pour le compte d’un tiers (hors archivage électronique) : l’obligation de se faire certifier en recourant à un organisme accrédité pour cela. Intégrée au code de la santé publique, cette mesure découle d’une ordonnance du 12 janvier 2017 et met un terme à l’actuelle procédure d’agrément. La date du 1er avril 2018 n’est pas une date-couperet : cette évolution sera progressive, selon l’année d’obtention de l’agrément pour les hébergeurs qui en détiennent déjà un, ou qui en ont fait la demande mais l’attendent encore.
« Les hébergeurs de données de santé doivent privilégier cette nouvelle procédure, qui vise à renforcer leur positionnement en tant que professionnel de l’hébergement apportant un niveau de service qui garantit la sécurité et la confidentialité des données de santé », communique l’Agence française de la santé numérique (ASIP Santé), qui a publié en novembre 2017 les versions provisoires des référentiels d’accréditation et de certification. L’agence n’exclut pas d’exporter ce nouveau dispositif à l’étranger, ce qui confèrerait à la France « un réel atout concurrentiel ». Et aux organismes certificateurs de nouveaux marchés hors de l’Hexagone, avec l’assurance de parler le même langage puisque les référentiels de certification sont assis sur des normes internationales, dont la très rassurante ISO 27001 sur le management de la sécurité des systèmes d’information (voir encadré).
AFAQ Hébergement de données de santé : un gage de confiance universel
Avant même la publication du décret n° 2018-137 en février 2018 officialisant la certification HDS, chez AFNOR Certification, on n’a pas attendu pour se mettre en ordre de marche et bâtir une certification qui débouchera, chez l’hébergeur qui remplira tous les critères, sur l’octroi d’un signe distinctif qui vaudra conformité au décret. Ce signe distinctif, c’est AFAQ Hébergement de données de santé. « Les professionnels et établissements de santé souhaitant confier à un tiers les données qu’ils recueillent à l’occasion de leurs activités de prévention, diagnostic, soins ou suivi social et médico-social, ont tout à gagner à faire appel à des tiers certifiés. C’est un gage de confiance pour eux et pour leurs patients », explique Brice Gilbert, chef de produit chez AFNOR Certification.
Protection des données de santé : le socle de l’ISO 27001
Deux types de certificats sont proposés : la certification « Hébergeur d’infrastructure physique » pour les activités d’hébergement physique et de fourniture de matériel, et la certification « Hébergeur infogéreur » pour les activités d’infogérance, de sauvegarde externalisée, d’hébergement de plateformes logicielles et d’infrastructures virtuelles. L’hébergeur pourra se faire certifier sur l’un, l’autre ou les deux périmètres de certification… sachant que s’il s’est déjà plié à l’exercice de la certification ISO 27001, qui sert de socle au référentiel Hébergement de données de santé, il a déjà fait 80% du travail ! AFNOR Certification, organisme accrédité pour auditer vos systèmes de management de la sécurité de l’information selon la norme NF ISO/IEC 27001 de 2013, est là aussi votre partenaire.
Aujourd’hui mise en lumière avec le plan d’Édouard Philippe, la volonté d’accélérer la transformation numérique du système français de soins ne date pas d’hier. Il s’agit par exemple d’étendre la prise de rendez-vous en ligne, de généraliser le paiement en ligne, mais aussi de créer du lien entre l’hôpital et les professionnels de santé libéraux afin que les informations sur les patients soient partagées plus facilement. C’était le sens du programme Hôpital Numérique lancé par le précédent gouvernement en 2012. Le Grand Plan d’Investissement que le Premier ministre a présenté en septembre 2017 a remis sur le sujet sur la table, et octroyé une ligne budgétaire de 4,9 milliards d’euros sur cinq ans pour « accélérer la numérisation du système de santé et de cohésion sociale ».
Un référentiel assis sur trois standards
La certification AFAQ Hébergement de données de santé permet de s’aligner avec les grandes normes volontaires internationales adoptées à l’ISO et reprises dans la collection française disponible chez AFNOR :
- la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
- la norme ISO 20000 « système de gestion de la qualité des services » ;
- la norme ISO 27018 « protection des données à caractère personnel », complétée (selon l’ASIP Santé) de quelques points de contrôles adaptés à la particulière sensibilité des données de santé.
En savoir plus sur la certification AFAQ « Hébergement de données de santé »