LA DEMARCHE RGPD CHU DE NANTES

Slides:



Advertisements
Présentations similaires
1 CH de Dunkerque Définition des principes, missions et du périmètre initial de la centrale de gestion des lits Centrale créée en 2009, sur le périmètre.
Advertisements

La norme ISO et la gestion documentaire La création et la mise en œuvre d'un outil informatique.
Présentation du « pôle conseil » Outils d’accompagnement du management dans le dispositif de Prévention des Consommations A Risques du Département du calvados.
1 – III Mode opératoire Modalités de mise en œuvre : PHASE CONCEPTION  24 Mai 07 : décision de principe par la COMEX.  Juin / Juillet 07 : définition,
Projet de formation en conduite de changement Laurent GIROD-ROUX / mars 2016.
Direction Régionale et Interdépartementale de l'Environnement et de l'Énergie d'Île-de-France Contrôles.
Deux nouveaux services en ligne Principes (1/2)
Connaissance, Qualité Risques
Les systèmes de gestion de l’information Les outils technologiques au services des prestataires de soins et de services Colloque sur la clientèle en.
Réunions octobre – novembre 2016
Enregistrement de la demande de logement social en IDF et compte rendu des attributions juin 2012.
LE PROCESSUS OPERATOIRE
Sites Internet et Protection des données à caractère personnel
Ch.1 : Modélisation des systèmes par SysML
La mise en place opérationnelle du SNDS
Formation « Administrateur ATRIUM »
Projet de Décret relatif au Contrat de Bon Usage médicaments et des produits et prestations mentionné à l’article L Code de la sécurité sociale.
DIM Centre hospitalier de la Côte Basque
La datavisualisation au service de l’information : retour d’expérience sur les projets menés chez Total Conférence ADBS « Booster la valeur ajoutée de.
CIRCUIT DU MÉDICAMENT : ACTUALITÉ RÉGLEMENTAIRE
Fonctions transversales d’organisation et de vérification des tâches
Livret scolaire unique du CP à la 3ème
Gestion des habilitations
Vers une nouvelle gouvernance de la donnée personnelle
La démarche Qualité Présentation d’une démarche A1_010Da.
Comment améliorer la pratique des opérateurs sur le terrain
Profils d’emplois JT du 24 septembre 2001
INFOCENTRE Avancement du projet Évolutions sur la période
Amélioration de la qualité des forfaits
Docubase UNIX version centralisée J.T. du : 26/04/01
Et la vie lycéenne Vous présentent.
PROJET HET EN BRETAGNE Date – 18/11/2016 Lieu - PARIS.
Marguerite OUEDRAOGO BONANE
LE b. a. ba d’A.B.M.A. « aller bien pour mieux apprendre » Implantation d’un dispositif de promotion de la santé en milieu scolaire Equipe ABMA.
Plan d'urbanisation Version / 02 / Nov Mai 2013 Passation des marchés Sommaire Une vision unifiée de l'urbanisation et de l'approche.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Maintenance informatique des collèges
Le RGPD dans la santé Cédric Cartau – 2017.
Directrice de la Conformité
LE RÉFÉRENTIEL LES 4 BLOCS DE COMPÉTENCES
Laurence CHAMPION, Laetitia MAZZONI
La sécurité et le rôle du chef d’établissement
Le règlement europeen sur la protection des données personnelles
Le Règlement européen général sur la protection des données (RGPD)
La gestion des habilitations par le partenaire
Intervention CoTer – 7 décembre 2017
Passage aux Responsabilités et Compétences Élargies (RCE) à l’Université du Maine 1 Jeudi 6 Mai 2010.
Réunion des directeurs
SCM Supply Chain Management.
LE RGPD EST-IL L’ENNEMI DU BIG DATA ?
Cybersécurité et biomédical
RÉUNION DU CONTRIBUEZ À L'ADAPTATION DES EMPLOIS ET DES COMPÉTENCES ! 1.
Plateforme Régionale Les soirées de la e-santé en Corse Ajaccio – 08/11/2018.
PROJET « ALTA-STRADA » Une plateforme régionale de services et de télémédecine faite PAR et POUR les médecins libéraux de Corse Projet porté par l’URPS.
CHU DE NANTES – Cédric CARTAU
Nouveau Règlement Général de Protection des Données
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
Référentiel RGPD du LabRC
République Tunisienne Ministère de la Santé
« hôpital numérique » archivage du dossier patient
Registre des activités de traitement
Stratégie E- Gov pour les Collectivités Locales
Module 1 : principes généraux I&L
DMP Comité opérationnel de déploiement Ille et Vilaine
Mise en œuvre de l’expérimentation de la consultation du DP
Conclusions du GT de suivi des propositions formulées en formation CE
ELABORATION D’UNE POLITIQUE DES RELATIONS AVEC LES USAGERS
Quelle évaluation pour les Dispositifs Médicaux Connectés
Télémédecine et protection des données personnelles
Travaux internationaux : BEPS, transparence, etc.
Transcription de la présentation:

LA DEMARCHE RGPD CHU DE NANTES Cédric CARTAU APSSIS – avril 2018

Début des travaux : AMOA Wavestone en juin 2017 Etat des lieux Début des travaux : AMOA Wavestone en juin 2017 Approche générale : pragmatisme plutôt qu’effet tunnel Vérification de la conformité CNIL ancienne réglementation au 24 mai 2018 Tous les traitements auront été déclarés à la date du 24 mai; Seuls les modifications de traitements ou les nouveaux traitements à partir du 25 mai 2018 relèvent du RGPD Cartographie des traitements État initial : 409 déclarations Etat après nettoyage : 32 traitements Retour aux fondamentaux du traitement Identification des traitements sensibles : environ 14

Stratégie retenue pour la mise en conformité Mise en conformité du socle commun information agent et patient signalement des incidents à la CNIL et aux personnes fiche de registre etc. Constitution d’un socle documentaire pour l’ensemble des acteurs (voir ci-dessous) Intégration du RGPD dans tous les nouveaux projets dès janvier 2018 Information nécessaire des secteurs Système et Applicatif Intégration dans tous les nouveaux projets, information des principales MOA (exemple : DRH pour Vote électronique et prélèvement à la source) Nécessité de constituer une base de décisions Mise en conformité des 5 traitements les plus sensibles DPI / GAM AD Agents Médecine du travail FEI

Le socle documentaire

La question des relations avec les sous-traitants Typologie de sous-traitants 3 groupes : les fournisseurs OnPremise, les fournisseurs SaaS, les délégataires de traitements Avenant Utilisation du modèle fourni par la CNIL Les prochains fournisseurs annexe RGPD aux prochains marchés;

La stratégie de communication interne Communications avec les autres processus DRH / DAM DIM / CME Recherche Direction des usagers DSI (Secteur Appli, Décisionnel, RH) Affectation des traitements aux directions métier concernées 20M€, ça calme tout le monde ! Injonction d’arrêt de traitement et article dans la presse, encore mieux ! Chantier au long cours de mise en conformité des autres traitements sensibles A raison d’1 traitement par mois ou trimestre, 12 à 18 mois;

Les choix qui ont été faits L’appréciation des risques Refonte, mutualisation avec l’appréciation des risques IT de l’établissement Mise en conformité de la sous-traitance Equipements biomed « boite noire » existants : aucune action Le même modèle d’avenant pour tous les fournisseurs Signature de la MOA AD et messagerie : DSI DPI : le DIM ou le PDT CME ? Le shadow IT Les traitements Cloud non maîtrisés, les fichiers bureautiques sauvages Approche PSSI / Charte plutôt qu’acquisition de solution logicielle Permet une approche de type « RAF »

Les problèmes en cours de traitement - 1 Le secteur recherche Problèmes de frontière, qu’est-ce qui relève ou non de la recherche ? Frontières entre les méthodologies MRxxx et le RGPD Irruption récente des entrepôts de données : multiplicité des traitements Anticiper l’approche de type Hellboy Les enquêtes Dérives régulières dans la typologie des données collectées : certaines enquêtes deviennent des DPI de spécialité Typologie des données collectées : entre anonymat et nominatif, toutes les nuances de gris Accessibilité nominatives aux résultats Le choix du Responsable de traitement Deux EH crée un GCS de pharmacie, qui utilise le logiciel d’un des 2 EH, le GCS est dirigé par un agent du second EH mis à disposition du GCS : qui est le RT ? Un dossier de SPE hébergé chez un HDS, accédé par 5 CH : qui est RT ? Un dossier de SPE accédé par 3 CH co-RT, quid de l’accès à un 4ème CH ?

Les problèmes en cours de traitement - 2 Le décisionnel général (179 requêtes identifiées, dont 119 « sensibles ») Les outils tels que SAAS permettent d’aller de données agrégées (camemberts) à la donnée nominative : quels contraintes de traçabilité d’accès ? Que faire des traitements de type analyse des flux de patient pour améliorer la prise en charge ? Que faire des traitements sur l’usage des progiciels par les utilisateurs eux-mêmes (analyse des clics souris sur le DPI) ? Le décisionnel RH Exemple : liste d’absentéisme par UF et par code métier; Le décisionnel, état des lieux Formalisation des demandes de requêtes, en particulier la finalité; Application du principe de minimisation (redoutable); Audit annuel du parc de requêtes;

Les problèmes en cours de traitement - 3 L’activité HDS du CHU de NANTES Avenants à passer avec les clients hébergés Les conventions de services intra GHT44 Convention de prestations biologie, pharmacie, repas Convention de mise en commun de la DSI : prise de main à distance, supervision infra, etc. L’archivage Traitement additionnel ? Articulation avec les normes (agrément Ministère de la culture) ? L’effacement des données La fin des DPI jamais purgés Articulation avec la question de l’archivage ?

Les problèmes en cours de traitement - 4 Les communications avec les autorités judiciaires Signalement des fugues et des cas de radicalisation Communications de certains résultats de laboratoires (contrôle alcoolémie, etc.) Les communications avec les CaC Données sensibles échangées Les communications avec les OS Les associations bizarres dont l’EH est le boss

L’implémentation à l’échelon GHT44 Identification d’un réseau de relais locaux Refonte, mutualisation avec l’appréciation des risques IT de l’établissement Formation / information par WAVESTONE en session de 2h Fourniture d’un kit documentaire et d’une assistance en mode expertise Intervention auprès des directions générales si demandé Attention, niveaux de maturité très disparates Positionnement du CHU de NANTES en mode expertise et non donneur d’ordre Problème d’interprétation de la loi de santé 2016 13 DPO ou un DPO de GHT ?

Les questions en suspend au niveau du GHT44 Rôle de l’établissement support de GHT dans la conformité RGPD de l’ensemble du GHT article L 6132-3-I: l’établissement support d’un GHT met en œuvre, dans le cadre de la gestion du système d’information, les mesures techniques de nature à assurer le respect des obligations prévues par la loi Informatique et Libertés. Impact de la convergence SI sur les traitements Les interopérabilités applicatives Les accès croisés (attention complexité +++) Les rapatriements ou fusion de base

La gestion d’un risque de conformité Conclusion La gestion d’un risque de conformité Nettoyer les traitements les plus sensibles Avoir un plan opposable de mise en conformité globale en cas de contrôle Être en mouvement, les traitements évoluent (et les textes aussi) Revenir à l’esprit du texte On ne peut plus faire n’importe quoi avec les données nominatives Il faut évaluer Cela ressemble bigrement à la certification des comptes, non ? Une chance pour l’établissement ?... De la notion de cercle vertueux … mais surtout pour le DPO/RSSI Un levier sans précédent auprès de la stratégie métier Un levier sans précédent envers des fournisseurs peu regardants… IAM = gros nettoyage de l’annuaire des agents RGPD = gros nettoyage des traitements et des pratiques borderlines

Questions / Réponses ?

Ouvrage