3 novembre 2014

Certification v2014 et Sécurité des SI

Donnees de sante
Les établissements de santé sont soumis à une certification de la Haute Autorité de Santé (HAS) tous les 4 ans. Cette certification, basée sur des indicateurs Qualité, a étendu progressivement son périmètre pour prendre en compte les risques. Tandis que la version 2010 mettait notamment en avant la bonne gestion du circuit du médicament, processus souvent critique pour les établissements de santé, la version 2014 s’intéresse plus particulièrement aux risques informationnels et à la protection des données à caractère personnel de santé.
“La HAS souhaite fournir aux professionnels de santé des leviers concrets–travail sur lefonctionnement des équipes de soins, structuration des parcours de soins, mise en place de solutions pour la sécurité. La HAS souhaite que des initiatives se développent sur ces sujets.”  [Guide méthodologique à destination des établissements de santé – Certification V2014 – HAS]
La prise en compte des indicateurs du programme-hôpital numérique dans le nouveau guide méthodologique certification v2014 permet de mettre en exergue les exigences en termes de sécurité de l’information, ce qui devrait permettre à terme d’assurer un niveau de sécurité minimum correcte pour les données des patients, et ce, quel que soit le type d’établissement de santé fréquenté.

 

“L’attention est portée en V2014, sur la capacité de l’établissement à identifier ses risques.” [Guide méthodologique à destination des établissements de santé – Certification V2014 – HAS]

La prise en compte de la sécurité de l’information dans le processus de certification HAS est formalisée dans le thème obligatoire : Gestion du système d’information, et plus particulièrement dans le chapitre 5b : sécurité du système d’information. [Manuel de certification des établissements de santé V2010 révisé janvier 2014 – HAS]

On peut lire dans ce chapitre qu’il faut définir les responsabilités et les procédures en termes de sécurité de l’information, ce qu’on pourra traduire par la formation ou le recrutement d’un référent sécurité des systèmes d’information et la formalisation, à minima, de la politique de sécurité des systèmes d’information (PSSI).

Le second critère repose sur la mise en place d’un plan de reprise d’activité. Le critère est vague, mais il est sous-entendu qu’il faut bien connaitre les risques pesant sur son système d’information ainsi que les besoins de disponibilité des outils informatiques des professionnels  de santé.

Le dernier critère évoque l’évaluation et l’amélioration des dispositifs de sécurité du système d’information. Encore une fois, ce processus d’amélioration continue ne peut s’appuyer que sur une bonne connaissance des risques informationnels ce qui permet de “prioriser” les actions à mettre en place. La mise en place d’indicateur/tableau de bord et des audits réguliers de la sécurité du système d’information permettent de répondre de manière satisfaisante à ce critère.
Les actions à mettre en œuvre pour répondre à ces critères demandent du temps et une expertise forte, c’est pourquoi nous conseillons aux établissements de santé d’initier ces projets dès l’engagement dans la certification v2014 (à minima 2 ans avant l’audit de certification) afin d’avoir effectué le(s) premier(s) cycle(s) d’amélioration continue de la sécurité des systèmes d’information lors de l’audit des experts-visiteurs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *