Une conformité globale garantie au service de vos projets e-santé
GOUVERNANCE DES DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL
A l’heure de la transformation digital de la santé, la croissance exponentielle des volumes de données demande des ressources technologiques puissantes et agiles afin de les exploiter à leur juste valeur économique et scientifique. Une gouvernance globale des données est alors primordiale afin d’encadrer la valorisation et les traitements des données.
Conscient des enjeux de sécurité pour les industriels de santé, nous accompagnons nos clients dans la définition d’une gouvernance globale des données de santé à caractère personnel, basée sur le respect des critères DICT :
- Disponibilité: Les données sont à tout moment accessibles par les utilisateurs autorisés.
- Intégrité: Les données sont protégées contre toute altération ou destruction involontaire ou suppression accidentelle lors de leurs collectes, traitements, sauvegardes, restitutions. Les données doivent être non corrompues et de sources fiables.
- Confidentialité: Seules les personnes habilitées ont accès aux données. Une politique de gestion des droits et accès selon le niveau d’habilitation légale doit être suivie.
- Traçabilité: Une journalisation des actions doit être mise en place au niveau applicatif (logs des actions exécutées au niveau de l’application).
Nos pratiques de gouvernance des données permettent à nos clients d’optimiser l’efficacité de l’exploitation des données de santé dans le respect des exigences réglementaires internationales: certification HDS: 2018, ISO 27001, 27701 et cadre réglementaire RGPD en Europe; HIPAA aux Etats Unis; CSL et PIPL en Chine. En savoir plus sur nos certifications.
Euris vous permet de construire de bout en bout votre projet IT santé depuis la phase de conception jusqu’à la phase d’industrialisation. Notre expertise en santé numérique nous permet de vous accompagner au mieux dans l’élaboration de votre service e-santé, en suivant les concepts de « Privacy by Design » et de « Privacy by Default ». En effet, il est primordial d’intégrer la protection des données de santé dès la conception des nouveaux services e-santé, tout en garantissant par défaut le plus haut niveau possible de sécurité.
Dr Benoît Lamblin, médecin hébergeur de l’offre Cloud Santé, nous explique son rôle et les enjeux dans l’exploitation des données de santé pour les praticiens et les patients.
OPÉRATEUR DE SANTÉ CONNECTÉE
Depuis plus de 20 ans, Euris accompagne les industriels de santé dans leurs projets d’hébergement et d’infogérance 24/7 de leur plateforme. Euris facilite le développement de services e-santé tout en garantissant la conformité avec les contraintes relatives aux données de santé.
Notre infrastructure d’hébergement certifié HDS multi-territoire nous permet de vous accompagner nos clients dans le monde entier pour la mise en œuvre de services industrialisés en santé numérique.
Ainsi, Euris crée et opère un ensemble de services IT pour répondre aux enjeux de la transformation digitale de la santé. A travers une marketplace de services e-santé unique en Europe, Euris met à disposition de ses clients des briques technologiques et digitales clés en main en conformité HDS. Sous un contrat global et unique, nos clients peuvent ainsi développer très facilement leur projet e-santé pour le déploiement et le développement de leur solution, sans avoir recours à des prestataires externes.
Conformité aux exigences GxP
Le terme GxP est une abréviation générale pour les recommandations et les réglementations de « bonnes pratiques » faisant référence aux réglementations et directives s’appliquant aux organisations des sciences de la vie produisant des produits alimentaires et médicaux, tels que des médicaments, des dispositifs médicaux et des applications logicielles médicales. L’objectif global des exigences GxP est de s’assurer que les produits médicaux et alimentaires sont sans danger pour les consommateurs et de garantir l’intégrité des données utilisées pour prendre des décisions en matière de sécurité concernant les produits.
La certification GxP pour les fournisseurs d’hébergement de données de Santé n’existant pas, Cloud Santé® a établi une approche de contrôle de conformité GxP, en se basant sur les exigences déterminées dans le Titre 21 partie 11 du CFR de la FDA des États-Unis d’Amérique qui contient les exigences concernant les systèmes informatisés qui créent, modifient, maintiennent, archivent, récupèrent ou distribuent des enregistrements électroniques pour soutenir les activités réglementées par GxP. Cette démarche repose également sur les différentes certifications et conformités obtenues par Cloud Santé (ISO 27001, 27701, HDS, HIPAA, RGPD, …).
La partie 11 a été créée de façon à autoriser l’adoption de nouvelles technologies informatiques par les organisations des sciences de la vie réglementées par la FDA, tout en offrant en parallèle un cadre permettant de s’assurer que les données GxP électroniques sont fiables.
Ces exigences concernent, en général, l’authenticité, l’intégrité et la confidentialité des données électroniques. Euris Cloud Santé a basé son système de sécurité du Système d’Information selon les critères du DICA (Disponibilité, Intégrité, Confidentialité et Auditabilité)
Exigences |
Mesures |
|---|---|
| Responsabilités et Organisation |
Une organisation fondée sur l’engagement de la direction pour la sécurité du SI et la protection des données avec un comité de sécurité Des responsabilités Identifiées, une démarche de veille réglementaire et de conformité, un processus de recrutement strict avec une identification. |
| Gestion du système |
Un système géré via l’analyse de risque et l’amélioration continue Une supervision de l’infrastructure (réseau, matériel et système d’exploitation) |
| Gestion du personnel |
Un processus de recrutement strict avec une identification des compétences requises, des qualifications, des contrôles, des évaluations sont réalisées au long du processus de recrutement Une formation métier et sur la sécurité des SI est dispensée |
| Enregistrements et rapports |
Un système de journalisation centralisé, sur des équipements dédiés Des journaux d’accès, d’infrastructure, des comptes, applicatifs, … Un système de surveillance permettant la supervision de l’infrastructure (réseau, matériel et système d’exploitation) |
| Audits Qualité |
Un système de management des systèmes d’information est en place, nos politiques chapotent les process opérationnels. Ceux-ci sont révisés annuellement lors des contrôles de conformité Le système est audité (en externe) à minimum 3 fois par an 4 tests PCA par an |
| Évaluations des fournisseurs |
Une évaluation des fournisseurs Une vérification des qualifications requises Une vérification de l’alignement avec nos exigences |
| Système à accès limitée | Des responsabilités identifiées et séparées (matrice d’habilitation et de droits) ainsi qu’un process de validation et de contrôles |
| Le contrôle des changements |
Tous les changements concernant l’infrastructure sont validés dans le cadre du process de surveillance Toutes les modifications de services apportés à nos clients sont validées via des process approprié à la sécurité dans le cadre HDS via des recettes |
| Sauvegarde et restauration |
Système de sauvegarde redondé Test de restauration mensuel |
| Gestion de la sécurité |
Un système totalement redondé (infrastructure, données, sauvegarde) Des accès physiques sécurisés, tracés et contrôlés Des accès logiques à double facteurs, des restrictions définies aux données sensibles et contrôlés Des données chiffrées Des mécanismes d’authentification Des sauvegardes et test de restauration Une surveillance 24/7 compléter par une journalisation des évènements |
| Gestion des incidents |
Un système totalement redondé (infrastructure, données, sauvegarde) Organisation en gestion de crise A la suite de l’identification d’un incident, une étape de qualification est ouverte pour permettre le traitement, la clôture de l’incident sera formalisée par un document de retour d’expérience et un suivi du plan d’action |