Lors de l’examen de la loi HPST (Hôpital, patients, santé et territoires), la commission du sénat vient de valider la modification de l’article L. 1111-8 du code de santé publique. Il est y précisé que désormais l’hébergement de données de santé à caractère personnel concerne aussi les données sur support papier. Texte actuel de l’article 1111-8 Si cette disposition permettra plus facilement aux établissements d’externaliser leurs archives papier, cela implique toutefois que les prestataires spécialisés dans l’archivage papier devront se conformer au décret sur l’hébergement de données de santé, et donc se soumettre à la procédure d’agrément. Le référentiel de constitution des dossiers de demande d’agrément paru en Mars 2009 leur est donc opposable. A noter, que le consentement du patient est toujours un pre-requis
ISO 27799 sécurité des informations de santé. Partie 2
Trouver n’est rien, c’est le plan qui est difficile Dostoïevski Comme je l’ai écrit dans le précédent billet, la norme 27799 comporte à mon sens une redite de la norme 27001 (même si les auteurs s’en défendent dès l’introduction du document). Ainsi, en ce qui concerne le “plan d’actions pratique pour la mise en œuvre de la 27002″, on y lit que la conformité à l’ISO 27002 peut être garantie par la mise en place d’un SMSI (Système de Management de la Sécurité des Informations) et que “si possible” ce SMSI respectera les recommandations des points 6.2 à 6.7 de la 27799 et que vous seriez aussi inspirés de lire les exemples de son annexe B. Autrement, cela revient à dire: “mettez en place un
ISO 27799 sécurité des informations de santé. Partie 1
Contexte normatif et sectoriel Depuis plusieurs années, la continuité et la qualité des soins reposent de plus en plus sur les systèmes d’informations. La sécurité de ces systèmes, et souvent des informations de santé personnelles, est devenue un enjeu crucial notamment en raison de l’augmentation de leur traitement informatique et du nombre d’échanges entre professionnels. La norme internationale ISO 27799:2008 (“Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002″) parue en juin dernier, propose des recommandations pour la mise en oeuvre de mesures de sécurité adaptées aux organisations de soins et autres dépositaires de données personnelles de santé. Elle peut donc intéresser des établissements de soins, des réseaux de santé ou des hébergeurs. C’est pendant l’année 2002 qu’un groupe de