Une norme ISO pour la sécurisation des données de santé
Imprimer la pageMalgré l’échec du Dossier Médical Personnel français, Google et Microsoft lancent respectivement chacun Google Health et Microsoft Healthvault, des dossiers médicaux en ligne. Dans ce contexte
l’International Organization for Standardization (ISO) vient de publier une nouvelle norme ISO 27799:2008 qui définit toutes les précautions à prendre et règles de bonnes pratiques concernant la gestion des informations de santé, « quels qu’en soient la forme, le support utilisé pour les stocker ou les moyens mis en œuvre pour leur transmission ». Le communiqué de l’ISO précise qu’ : « avec l’utilisation croissante des technologies sans fil et de l’Internet dans les prestations de soins et du fait de l’accroissement des échanges électroniques d’informations personnelles de santé entre professionnels de la santé, une gestion efficace de la sécurité des technologies de l’information dans le domaine de la santé est un impératif des plus urgents qui justifie clairement l’utilité de l’adoption d’une référence commune en la matière ».
« Dans le secteur de la santé, les systèmes informatiques doivent répondre à des exigences de sécurité particulièrement rigoureuses car ils doivent rester opérationnels en cas de catastrophes naturelles, de pannes de système ou d’attaques par refus de service. »
« L’ISO 27799:2008 fournit des lignes directrices permettant d’interpréter et de mettre en œuvre l’ISO/CEI 27002 [1] dans le domaine de l’informatique de santé et constitue un complément à cette dernière.
L’ISO 27799:2008 spécifie une série de contrôles détaillés en vue de la gestion de la sécurité des informations de santé et apporte des indications de bonne pratique en matière de sécurité des informations de santé. La mise en œuvre de la présente Norme internationale permettra aux organismes de santé et aux autres dépositaires d’informations de santé de garantir le niveau minimal requis en termes de sécurité propre aux dispositifs de leur organisme et de garantir la confidentialité, l’intégrité et la disponibilité des informations personnelles de santé.
L’ISO 27799:2008 s’applique à tous les aspects de l’information de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour les stocker (imprimés, écrits papier, stockage électronique) ou les moyens mis en œuvre pour leur transmission (en main propre, par fax, par réseau informatique ou par la poste), car l’information doit toujours être protégée efficacement. »
A noter que le récent projet français d’ “arrêté portant création d’un référentiel relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique” ignore cette norme 27799:2008.
L’ISO 27799:2008, Informatique de santé - Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002, a été élaborée par l’ISO/TC 215 le Comité technique sur l’informatique de la santé de l’Organisation internationale de normalisation. Elle est disponible au prix de 154 francs suisses auprès des instituts nationaux membres de l’ISO.
[1] ISO/CEI 27002 : Code de bonne pratique pour la gestion de la sécurité de l’information qui établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme :
politique de sécurité ;
organisation de la sécurité de l’information ;
gestion des biens ;
sécurité liée aux ressources humaines ;
sécurité physique et environnementale ;
gestion opérationnelle et gestion de la communication ;
contrôle d’accès ;
acquisition, développement et maintenance des systèmes d’information ;
gestion des incidents liés à la sécurité de l’information ;
gestion de la continuité de l’activité ;
conformité.
