Conditions générales à respecter

Pour la sécurisation de systèmes d’information, les moyens techniques utilisés pour l’échange et le partage de données doivent être conformes aux référentiels de sécurité et d’interopérabilité mentionnés à l’article L 1111-8 alinéa 4 du code de la santé publique.

Protection et droits des patients

Les dispositions relatives aux conditions de mises en œuvre de traitement de données permettant l’administration des soins et des traitements et la gestion des services de santé mentionnés aux articles L. 1111-2, L. 1111-4 et L 1111-8. de Code de la santé publique s’appliquent:

  • Consentement éclairé du patient
  • Conformité de l’hébergement des données de santé à caractère personnel
  • Authentification forte et restrictions des accès aux professionnels de santé

Consentement éclairé du patient

Les traitements de données permettant l’administration des soins et des traitements et la gestion des services de santé sont réalisés avec le consentement libre et éclairé de la personne, en application notamment des dispositions des articles L. 1111-2 et L. 1111-4 du même code.

Attention

Il revient au responsable de traitement ou administrateur1 de définir le modèle de consentement éclairé à destination du patient pour expliciter le traitement de données (finalité, données traitées, mesures de sécurisation des données, etc.) et de préciser la méthodologie pour recueillir et conserver ce consentement.

Hébergement des données

Les structures, organismes et professionnels de santé utilisateurs de technologies de l’information et de la communication s’assurent que l’usage de ces technologies est conforme aux dispositions relatives aux modalités d’hébergement des données de santé à caractère personnel.

Attention

La solution logicielle Ambulis est hébergée chez un hébergeur agréé données de santé qui est IDS. Ce dernier possède l’agrément HDS et est également certifié ISO 27001.

Authentification et restrictions des accès

Le suivi du patient à distance est réalisé dans des conditions garantissant:

  • L’authentification forte des professionnels de santé intervenant dans l’acte ;
  • L’identification du patient ;
  • L’accès limité exclusivement aux professionnels de santé en charge des données patients.

Attention

L’authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification. Le premier niveau est la saisie d’un identifiant et d’un mot de passe choisi par l’utilisateur (document de déclaration des comptes utilisateur). Le deuxième niveau consiste en l’installation sur poste informatique d’un certificat de sécurité (liste ou nominatif).

Afin de vous accompagner dans l’appréhension de ce nouvel outil, une session de formation à la solution est systématiquement réalisée par un agent formateur de Domicalis. Seul un personnel averti et formé peut utiliser AMBULIS dans le cadre d’activités de suivi du parcours ambulatoire des patients.

Attention

La liste des utilisateurs, déclarée dans le document de déclaration des comptes utilisateur, doit être mis à jour sous le contrôle de l’administrateur.

Traitement de données personnelles et RGPD

La mise en place et l’exploitation de AMBULIS nécessite le respect de la réglementation européenne générale pour la protection des données (RGPD). Brièvement, le RGPD oblige chaque responsable de traitement de données à caractère personnel à constituer, regrouper et actualiser régulièrement un certain nombre de documents:

  • Le registre des traitements ;
  • La description des procédures et moyens adaptés pour la sécurité des traitements ;
  • Les procédures internes en cas de violation de données
  • Les informations sur le délégué à la protection des données (description des missions, moyens, etc.) ;
  • Les mentions d’information à la personne concernée ;
  • Les modèles de recueil du consentement ;
  • Les procédures mises en place pour l’exercice des droits ;
  • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés envers les droits et libertés.

Une fois la base d’information réunie, ses éléments doivent pouvoir être fournis sur simple demande de l’autorité de contrôle du pays où siège le responsable de traitement (CNIL en France).

  1. Administrateur: responsable de traitement ou personnel ayant une délégation de responsabilité du responsable de traitement lui-même. Il doit être au fait de la destination du traitement de données personnelles et de leurs conditions d’utilisation déclarées à la CNIL ou sur le registre des traitements de données.