Vous êtes responsable informatique, DSI, RSSI, cadre ou dirigeant au sein d’un laboratoire d’analyses médicales, d’un établissement hospitalier ou bien encore d’un centre de radiothérapie. L’article 110 de la loi n° 2016-41 du 26 janvier 2016 traitant de la modernisation de notre système de santé prévoit l’obligation de signalement des incidents de sécurité. Le décret n° 2016-1214 du 12 septembre 2016 décrit les conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d’information.
Des objectifs clairs :
- Renforcer le suivi des incidents de sécurité dans les structures de santé ciblées ;
- Alerter et informer l’ensemble des acteurs de la sphère santé dans le cas d’une menace pouvant avoir un impact sur le secteur ;
- Partager des bonnes pratiques sur les actions de prévention ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes ;
Quel type d’incident déclarer ?
- Dès lors qu’il y a des conséquences potentielles ou avérées sur la sécurité des soins ;
- Dès lors qu’il y a des conséquences sur la disponibilité, l’intégrité ou la confidentialité des données de santé ;
- Dès lors qu’il y a des conséquences sur le fonctionnement normal de l’établissement ;
Doivent être systématiquement signalés :
- Toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale des systèmes informatiques, une altération ou une perte de données ;
- Tout impact sur la prise en charge des patients, sur le fonctionnement interne de la structure et sur les données à caractère personnel ;
Comment signaler un incident grave ?
Le portail de signalement des évènements sanitaires indésirables a été choisi pour permettre aux structures mentionnées par le décret de déclarer leurs incidents de sécurité.
Adresse du portail : https://signalement.social-sante.gouv.fr/
Pour aller plus loin consultez le site de l’ASIP Santé – L’agence française de la santé numérique : http://esante.gouv.fr/