Les établissements de santé sont soumis à une certification de la Haute Autorité de Santé (HAS) tous les 4 ans. Cette certification, basée sur des indicateurs Qualité, a étendu progressivement son périmètre pour prendre en compte les risques. Tandis que la version 2010 mettait notamment en avant la bonne gestion du circuit du médicament, processus souvent critique pour les établissements de santé, la version 2014 s’intéresse plus particulièrement aux risques informationnels et à la protection des données à caractère personnel de santé.
La prise en compte des indicateurs du programme-hôpital numérique dans le nouveau guide méthodologique certification v2014 permet de mettre en exergue les exigences en termes de sécurité de l’information, ce qui devrait permettre à terme d’assurer un niveau de sécurité minimum correcte pour les données des patients, et ce, quel que soit le type d’établissement de santé fréquenté.
On peut lire dans ce chapitre qu’il faut définir les responsabilités et les procédures en termes de sécurité de l’information, ce qu’on pourra traduire par la formation ou le recrutement d’un référent sécurité des systèmes d’information et la formalisation, à minima, de la politique de sécurité des systèmes d’information (PSSI).
Le second critère repose sur la mise en place d’un plan de reprise d’activité. Le critère est vague, mais il est sous-entendu qu’il faut bien connaitre les risques pesant sur son système d’information ainsi que les besoins de disponibilité des outils informatiques des professionnels de santé.
Le dernier critère évoque l’évaluation et l’amélioration des dispositifs de sécurité du système d’information. Encore une fois, ce processus d’amélioration continue ne peut s’appuyer que sur une bonne connaissance des risques informationnels ce qui permet de « prioriser » les actions à mettre en place. La mise en place d’indicateur/tableau de bord et des audits réguliers de la sécurité du système d’information permettent de répondre de manière satisfaisante à ce critère.
Les actions à mettre en œuvre pour répondre à ces critères demandent du temps et une expertise forte, c’est pourquoi nous conseillons aux établissements de santé d’initier ces projets dès l’engagement dans la certification v2014 (à minima 2 ans avant l’audit de certification) afin d’avoir effectué le(s) premier(s) cycle(s) d’amélioration continue de la sécurité des systèmes d’information lors de l’audit des experts-visiteurs.