RGPD324 documents taggés

Passer le cap du RGPD grâce à la certification

Le Règlement européen sur la protection des données personnelles est indiscutablement l’enjeu de conformité de l’année 2018 : la certification AFAQ Protection des données personnelles sera un outil pour pérenniser cette conformité.

DPO : Quel profil pour quel positionnement ?

On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).

Ouvrir son DPI aux patients, oui, mais comment ?

Si je vous dis que les établissements de santé vont bientôt ouvrir leur dossier patient informatisé (DPI) à leurs usagers (les patients), vous me répondrez que si c’est pour écrire des trucs que l’on sait déjà, autant rester couché. Si je vous dis, en sus, que la dimension GHT va rendre le projet « factorisable », c’est-à-dire que la masse critique de la nouvelle méta-organisation va faire que la brique à déployer sera économiquement plus facile à financer, gérer, etc., vous êtes forcément d’accord. Mais si on commence à parler des contraintes projet mêlées aux contraintes normatives, là, c’est tout de suite plus sportif.

DSIH Formations, une nouvelle activité de DSIH avec deux offres de formation en phase avec l’actualité SI de Santé

Convaincue que les professionnels de santé doivent poursuivre un processus dynamique d’acculturation aux technologies numériques en constante évolution, l’équipe de DSIH lance son activité de formation avec d’ores et déjà deux modules proposés : « Stratégie des SI de Santé » et « ISO/IEC 27001 Lead Implementer ».

APT : des menaces complexes et ciblées

Le Congrès national de la sécurité des SI de santé (#CNSSIS2018) se tiendra les 3, 4 et 5 avril 2018 au Mans. L’un des fils conducteurs de cette 6e édition : la cyberinsécurité. Focus sur la conférence « APT : étapes d’une attaque et contre-mesures opérationnelles en environnement médical » délivrée par Gérard Peliks, président de CyberEdu et directeur adjoint du MBA Management de la sécurité des données numériques de l’Institut Léonard-de-Vinci.

RGPD, suite et peut-être fin

Le sujet s’étire en longueur, mais à force de creuser on se rend compte que certains aspects sont plus compliqués que prévu.

RGPD ou le ball-trap des pigeons

Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.  

Les dossiers médicaux de 150 000 patients américains en accès libre sur le cloud d’Amazon

Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 4

Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.  

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3

Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.  

ITrust : l’expertise au service de la sécurité

ITrust est un éditeur de solutions innovantes en cybersécurité. Créée en 2007, la société compte aujourd’hui 200 clients privés ou publics et plus de 300 000 IP supervisées en continu. Très présente dans l’écosystème de la cybersécurité, elle ne cesse d’innover. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 2

Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Attaquons à présent une question pas forcément vitale, mais importante tout de même : l’évaluation de son impact sur la vie privée des incidents de sécurité, ou l’appréciation des risques.  

Cybersécurité Santé : la formation APSSIS délivrée à Dinard les 11, 12 et 13 septembre (3 places disponibles)

Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. La formation sera délivrée à Dinard, en partenariat avec DSIH magazine, les 11, 12 et 13 septembre 2017. 

Sous la plage, les octets

Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 1

Pour ceux qui viennent de passer 6 mois dans un monastère en pleine pampa et qui reprennent contact avec la réalité, rappelons que le 25 mai 2018 rentre en vigueur la nouvelle réglementation européenne sur les données, le fameux RGPD (Règlement Européen de Protection des Données).

La Société Française d’Informatique de Laboratoire (SFIL) se mobilise au service d’un projet règlementaire de protection des données de biologie médicale

Le Règlement Européen sur la Protection des Données Personnelles (RGPD) est paru au journal officiel de l’Union européenne le 4 mai 2016. Il entrera en application le 25 mai 2018 dans toute l’Union européenne, pour toutes les organisations et entreprises, pour tous les traitements de données à caractère personnel localisés en Europe ou concernant des citoyens européens. Il définit de nouvelles responsabilités pour les acteurs, tant concepteurs qu’utilisateurs de systèmes d’information. Pour une mise en conformité des systèmes d’information des laboratoires de biologie médicale, la SFIL répond favorablement à l’appel de la Commission Nationale Informatique et Libertés (CNIL).

La santé prend cher en ce moment

Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.

Lettre ouverte d’un RSSI excédé à certains fabricants de systèmes embarqués non protégés

Sécurité des SI : penser GHT, partie II

Dans un précédent article, nous avons évoqué le fait que la SSI n’était pas forcément le sujet le plus complexe à mutualiser dans un GHT, et que certains éléments tels que le prochain RGPD ou la complexité technique inaccessible aux établissements périphériques devaient servir de catalyseurs.

Sécurité des SI : penser GHT, partie I

Pas une semaine ne se passe sans qu’on lise, dans la presse spécialisée, des articles à qui mieux mieux sur les difficultés de mise en œuvre des GHT, laquelle va être compliquée, voire impossible sans fusion, etc.

RGPD : première analyse des experts d’Itrust

Impacts sur l’environnement technique, humain et organisationnel gravitant autour des données de santé à caractère personnel, rôle et responsabilités du Data Protection Officer (DPO), adaptation de l’offre industrielle sont quelques-uns des thèmes introduits par le règlement général sur la protection des données (RGPD). Benjamin Benifei, juriste-conseil, et Yasmina Janati, responsable Gouvernance SSI et consultante chez Itrust, décryptent leurs conséquences sur les établissements de santé.

Transition numérique : les établissements de santé ont-ils toujours un train de retard ?

Le SOC sous pression

Un SOC (Security Operations Center) permet d’analyser et de monitorer en temps réel l’activité des SI d’une structure avec l’objectif de détecter les vulnérabilités et les menaces, mais aussi d’identifier et d’analyser les intrusions et leur impact afin de mettre en place la réponse adaptée. Encore faut-il être sûr de la fiabilité et de la robustesse de son SOC ! Forte de son expertise en sécurité informatique, la société ITrust propose une offre innovante : le Stress Test SOC. Objectif : mettre sous pression votre SOC ! Entretien avec Marion Godefroy, Marketing and Communication Manager.

Rappel des rendez-vous par SMS : un risque pour la confidentialité ?

Le rappel de rendez-vous par SMS s’est démocratisé ces dernières années, y compris dans le secteur de la santé.