Sécurité informatique : un décret précise les incidents graves que les hôpitaux doivent signaler

Par
Publié le 14/09/2016
INFORMATIQUE

INFORMATIQUE
Crédit photo : PHANIE

Le décret relatif aux signalements des incidents graves de sécurité des systèmes d'information dans les établissements de santé et services exerçant des activités de prévention, de diagnostic ou de soins, a été publié ce 14 septembre au « Journal officiel ».

Le texte prévu dans la loi de santé (article 110) entrera en vigueur le 1er octobre 2017. Il détaille la marche à suivre par les établissements, hôpitaux des armées, laboratoires de biologie médicale et les centres de radiothérapie en cas d'incidents graves de sécurité informatique. Les structures concernées devront déclarer « les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins », « sur la confidentialité ou l'intégrité des données de santé » ou « portant atteinte au fonctionnement de l'établissement, de l'organisme ou du service ».

Parmi les incidents graves de sécurité informatique, ceux ayant une incidence sur l'organisation départementale, régionale ou nationale du système de santé sont jugés significatifs.

Le directeur de l'établissement devra déclarer « sans délai » les incidents graves au directeur de l'agence régionale de santé (ARS), responsable de la qualification des incidents signalés.

Dans les cas jugés significatifs, l'ARS doit transmettre l'information « sans délai » au groupement d'intérêt public (GIP) chargé du développement des systèmes d'information de santé partagés. Ce dernier assurera l'analyse de ces incidents, organisera les retours d'expériences et proposera des mesures d'aide. 

Un rapport annuel statistique sur les signalements anonymisés des incidents de sécurité informatique sera établi et rendu public par le GIP.

En 2015, la HAS a recensé 1 300 incidents parmi lesquels 18 attaques réelles et sérieuses créant un vrai risque pour les systèmes d’information de l’hôpital, avait précisé Bruno Brossard, de l’Agence des systèmes d'information partagés de santé (ASIP-Santé), lors du salon hospitalier Paris Healthcare Week.

 


Source : lequotidiendumedecin.fr