Programme Hop’en : « Hôpital numérique ouvert sur son environnement », quoi de neuf docteur ? (focus sur les prérequis)

D’une manière générale, l’ensemble des prérequis du précédent programme ont été conservés (éventuellement regroupés) et leurs cibles rehaussées. L’Apssis souhaite mettre en évidence les nouveautés qui, pour la plupart, consistent en des mises en cohérence avec les textes parus depuis 2012.

Identités, mouvements

En cohérence avec le décret n° 2017-412 de mars 2017, les applications doivent intégrer l’identifiant national de santé.

Sécurité

La thématique concernant la continuité d’activité regroupe désormais les exigences concernant l’existence de procédures pour le fonctionnement en mode dégradé et la formalisation du plan de reprise d’activité. Notons que ce dernier doit dorénavant être doté d’un plan de tests mis en œuvre.

En plus de l’existence de la politique de sécurité du SI (qui aura été révisée et alignée avec la PGSSI-S) et de celle d’une analyse de risques, un plan d’actions doit être formalisé et suivi en intégrant les 19 actions du « Plan d’action SSI » (instruction n° 309 pour les intimes). Une attention est portée sur l’existence de la procédure de signalement des incidents graves de sécurité du SI. Un point d’importance : bien que déjà précisée par la PSSI-MCAS (RSSI placé auprès de l’AQSSI, et sans lien de subordination avec la DSI), l’indépendance du RSSI vis-à-vis de la SSI est une exigence d’Hop’en ! Ce à quoi s’ajoute la tenue de deux entretiens annuels avec la direction pour faire un point de situation sur les incidents, les risques, les actions entreprises… Selon les organisations, une présentation lors d’une instance à laquelle siège la direction pourra probablement être aussi admise.

Déjà attendu dans le cadre de l’homologation de sécurité et pour les OIV/OSE, un nouvel indicateur vient se greffer : la réalisation régulière d’un audit externe. L’instruction précise les thématiques d’audits admises : applicatif, centre de serveur, réseau, plateforme de téléphonie et plateforme de virtualisation ou de système industriel.

Confidentialité

Afin de simplifier la gestion et d’opérer une cohérence avec l’instruction n° 309, il est recommandé que la charte d’accès et d’usage du SI soit annexée au règlement intérieur (ce qui n’évite pas sa diffusion aux acteurs).

On s’y attendait, un indicateur incite une nouvelle fois les structures à se mettre en conformité avec le RGPD et la loi Informatique et Libertés modifiée en juin 2018 en identifiant une fonction DPO. Celui-ci peut être mutualisé ; il doit s’assurer de la tenue du registre des traitements (avec les droits d’accès afférents) et produire un rapport d’activité. Dans le même esprit, les patients doivent aussi être informés des modalités d’exercice de leur droit d’opposition au traitement de leurs données à caractère personnel.

Échange et partage

Dernière nouveauté, l’apparition d’une thématique socle « Échange et partage » avec des exigences concernant les services nationaux : alimentation du DMP et utilisation d’une messagerie intégrée à l’espace de confiance MSSanté. Notons également l’exigence de peuplement du ROR sur les champs d’activité MCO, SSR et Psy.

Le président me tape sur l’épaule pour me rappeler que nous ne manquerons pas de revenir sur ces sujets lors du prochain Congrès de l’APSSIS. Rendez-vous en avril donc !

Par Auriane Lemesle
Secrétaire générale Apssis