Une conformité globale garantie au service de vos projets e-santé

GOUVERNANCE DES DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL

A l’heure de la transformation digital de la santé, la croissance exponentielle des volumes de données demande des ressources technologiques toujours plus puissantes et agiles afin de les intégrer et de les exploiter à leur juste valeur économique et scientifique. Une gouvernance globale des données est alors primordiale afin d’encadrer la valorisation et les traitements des données.

Conscient des enjeux de sécurité pour les industriels de santé, nous accompagnons nos clients dans la définition d’une gouvernance globale des données de santé à caractère personnel, basée sur le respect des critères DICT :

  • Disponibilité: Les données sont à tout moment accessibles par les utilisateurs autorisés.
  • Intégrité: Les données sont protégées contre toute altération ou destruction involontaire ou suppression accidentelle lors de leurs collectes, traitements, sauvegardes, restitutions. Les données doivent être non corrompues et de sources fiables.
  • Confidentialité: Seules les personnes habilitées ont accès aux données. Une politique de gestion des droits et accès selon le niveau d’habilitation légale doit être suivie.
  • Traçabilité: Une journalisation des actions doit être mise en place au niveau applicatif (logs des actions exécutées au niveau de l’application).
developpement potentiel

Nos pratiques de gouvernance des données permettent à nos clients d’optimiser l’efficacité de l’exploitation des données de santé dans le respect des exigences réglementaires internationales: certification HDS: 2018, ISO 27001 et cadre réglementaire RGPD en Europe; HIPAA aux Etats Unis; CSL en Chine. En savoir plus sur nos certifications.

Euris vous permet de construire de bout en bout votre projet IT santé depuis la phase de conception jusqu’à la phase d’industrialisation. Notre expertise en santé numérique nous permet de vous accompagner au mieux dans l’élaboration de votre service e-santé, en suivant les concepts de « Privacy by Design » et de « Privacy by Default ». En effet, il est primordial d’intégrer la protection des données de santé dès la conception des nouveaux services e-santé, tout en garantissant par défaut le plus haut niveau possible de sécurité.

Dr Benoît Lamblin, médecin hébergeur de l’offre Cloud Santé, nous explique son rôle et les enjeux dans l’exploitation des données de santé pour les praticiens et les patients.

OPÉRATEUR DE SANTÉ CONNECTÉE

Depuis plus de 20 ans, Euris accompagne les industriels de santé dans leurs projets d’hébergement et d’infogérance 24/7 de leur plateforme. Euris facilite le développement de services e-santé tout en garantissant la conformité avec les contraintes relatives aux données de santé.

Notre infrastructure d’hébergement multi-territoire nous permet de vous accompagner dans le monde entier pour la mise en œuvre de services industrialisés en santé numérique.

Ainsi, Euris crée et opère un ensemble de services IT pour répondre aux enjeux de la transformation digitale de la santé. A travers une marketplace de services e-santé unique en Europe, Euris met à disposition de ses clients des briques technologiques et digitales clés en main en conformité HDS. Sous un contrat global et unique, nos clients peuvent ainsi développer très facilement leur projet e-santé pour le déploiement et le développement de leur solution, sans avoir recours à des prestataires externes.

GXP logo

Conformité aux exigences GxP

Le terme GxP est une abréviation générale pour les recommandations et les réglementations de « bonnes pratiques » faisant référence aux réglementations et directives s’appliquant aux organisations des sciences de la vie produisant des produits alimentaires et médicaux, tels que des médicaments, des dispositifs médicaux et des applications logicielles médicales. L’objectif global des exigences GxP est de s’assurer que les produits médicaux et alimentaires sont sans danger pour les consommateurs et de garantir l’intégrité des données utilisées pour prendre des décisions en matière de sécurité concernant les produits.

La certification GxP pour les fournisseurs d’hébergement de données de Santé n’existant pas, Cloud Santé® a établi une approche de contrôle de conformité GxP, en se basant sur les exigences déterminées dans le Titre 21 partie 11 du CFR de la FDA des États-Unis d’Amérique qui contient les exigences concernant les systèmes informatisés qui créent, modifient, maintiennent, archivent, récupèrent ou distribuent des enregistrements électroniques pour soutenir les activités réglementées par GxP. Cette démarche repose également sur les différentes certifications et conformités obtenues par Cloud Santé (ISO 27001, HDS, HIPAA, RGPD, …).

La partie 11 a été créée de façon à autoriser l’adoption de nouvelles technologies informatiques par les organisations des sciences de la vie réglementées par la FDA, tout en offrant en parallèle un cadre permettant de s’assurer que les données GxP électroniques sont fiables.

Ces exigences concernent, en général, l’authenticité, l’intégrité et la confidentialité des données électroniques. Euris Cloud Santé a basé son système de sécurité du Système d’Information selon les critères du DICA (Disponibilité, Intégrité, Confidentialité et Auditabilité)

Exigences
Mesures
Responsabilités et Organisation  Une organisation fondée sur l’engagement de la direction pour la sécurité du SI et la protection des données avec un comité de sécurité

 Des responsabilités Identifiées, une démarche de veille réglementaire et de conformité, un processus de recrutement strict avec une identification.

Gestion du système  Un système géré via l’analyse de risque et l’amélioration continue

 Une supervision de l’infrastructure (réseau, matériel et système d’exploitation)

Gestion du personnel  Un processus de recrutement strict avec une identification des compétences requises, des qualifications, des contrôles, des évaluations sont réalisées au long du processus de recrutement

 Une formation métier et sur la sécurité des SI est dispensée

Enregistrements et rapports  Un système de journalisation centralisé, sur des équipements dédiés

 Des journaux d’accès, d’infrastructure, des comptes, applicatifs, …

 Un système de surveillance permettant la supervision de l’infrastructure (réseau, matériel et système d’exploitation)

Audits Qualité  Un système de management des systèmes d’information est en place, nos politiques chapotent les process opérationnels. Ceux-ci sont révisés annuellement lors des contrôles de conformité

 Le système est audité (en externe) à minimum 3 fois par an

 4 tests PCA par an

Évaluations des fournisseurs  Une évaluation des fournisseurs

 Une vérification des qualifications requises

 Une vérification de l’alignement avec nos exigences

Système à accès limitée  Des responsabilités identifiées et séparées (matrice d’habilitation et de droits) ainsi qu’un process de validation et de contrôles
Le contrôle des changements  Tous les changements concernant l’infrastructure sont validés dans le cadre du process de surveillance

 Toutes les modifications de services apportés à nos clients sont validées via des process approprié à la sécurité dans le cadre HDS via des recettes

Sauvegarde et restauration  Système de sauvegarde redondé

 Test de restauration mensuel

Gestion de la sécurité  Un système totalement redondé (infrastructure, données, sauvegarde)

 Des accès physiques sécurisés, tracés et contrôlés

 Des accès logiques à double facteurs, des restrictions définies aux données sensibles et contrôlés

 Des données chiffrées

 Des mécanismes d’authentification

 Des sauvegardes et test de restauration

 Une surveillance 24/7 compléter par une journalisation des évènements

Gestion des incidents  Un système totalement redondé (infrastructure, données, sauvegarde)

 Organisation en gestion de crise

 A la suite de l’identification d’un incident, une étape de qualification est ouverte pour permettre le traitement, la clôture de l’incident sera formalisée par un document de retour d’expérience et un suivi du plan d’action

Dans le cadre de notre offre Cloud Hybride, Cloud Santé® s’est assuré que nos partenaires, afin de compléter notre conformité, réalisent cette démarche.

Cloud Hybride AWS – ressources GxP disponibles ici

Cloud Hybride Azure : ressources GxP disponibles ici

Déployez votre solution e-santé sur un cloud privé certifié HDS en France et à l’international