HDS-en-fidagarritasuna osasun-datuentzat: elkarte eta ONG-entzako gida

Alagoaren helburuarekin osatutako elkarte zintzo, giza-eskubideen organisazioak, mediko-sozial erakundeak puntu komun bat dituzte, askotan kalean behera uzten dena: osasun-datuak karakter pertsonalez dituztela dute edo alojartzean, osasun-datuen alokatzea (HDS) esparrua barne sartzen dira. Hala ere, sektore honek atzerapenean dago fidagarritasunaren alorrean, barruko baliabide dedikatuak eta nahikoa kontzientziazio-falta direktala. Artikulu honek urratsez urrats gidatzen zaitu HDS-en sertifikazioak zer dakarte ulertzeko, zure benetako betebeharrak identifikatzeko eta funtzionamendu-bidagarritasunaren jardueraketaren aurkibidea osatzeko — bai eta IT-talde mugatua badute ere.

Zer da HDS-en sertifikazioa eta zergatik daude elkarteak inplikituak?

Osasun-datuen lege-definizioa

GDPR-aren zentzuan (4. artikulua, §15), osasun-datuak pertsona baten osasun fisiko edo mentalari buruzko karakter pertsonalez datua dute, osasun-egoerari buruzko informazioa erakuntzean. Definizioa zabaltzeko nolakoa da. Dossier medikoak kliniko zentzuan dituela ez ezik, hauek ere estalako ditu:

• Depistatzea-kampainetan jasotako benetatuaren datuak
• Enplegua-gizartearen laguntza-dossieretan adierazitako enpleguari buruzko informazioa
• Nutrizionalen edo osasun mentalaren datuak psikosozial-laguntzaren testuinguruan bilduak
• Giza-medikuntzako programen esparruan lortutako proba- edo ebaluazio-emaitzak

Adikzioei aurka borrokatzeko elkarte bat, adinedunek dituen laguntza-sarea edo denbora handian kontsulta medikoak kudeatzen dituen ONG batek guztiak datu kategoria honetan sartzen diren datuak bilduko dituzte.

HDS-eko instalazioa: lege-betebeharra, ez aukera

2016-41 legeak (osasun-sistema moderninzazioko legea) 2016ko urtarrilaren 26an jabeago bihurri osasun-datuak karakter pertsonalez alokatzeko konpromisoa — tartean elkarte eta ONG-ak ere. Sertifikazioaren erreferentziala, 2018-137 dekretoak zehaztutakoa 2018ko otsailaren 26an, estalitako jarduera eta eskatutako baldintza teknika eta organisazioak zehazten ditu.

Ideia zabalduaren aurka, exentsioa ez da aplikatzen helburua ez-lugorako erakundea izatearen soiltzean. Kontuan hartzen dena da kudeatutako datu mota eta alojazioa hirugarrenaren karpeta batengatik gauzatu denik (medikuari, pazienteari, ehuneko partzuergoko erakundea).

Sei HDS-eko jarduera eta haien hedadura elkarte-ezagunetan

HDS-en sertifikazioak sei jarduera desberdin estaltzen ditu, bi bloketan antolatuta:

Oinarri-ezaugarri blokea (1-3 jarduera)

• 1. jarduera: Leku fisiko eta mantentzea ezartzea eta operatzea (datu-guneak)
• 2. jarduera: Oinarri-hare materialaren ezartzea eta mantentzea
• 3. jarduera: Oinarri-virtuala-apaien ezartzea eta mantentzea

Softwarearen blokea eta kudeatutako zerbitzuak (4-6 jarduera)

• 4. jarduera: Aplikazio-alojatzea-plataformaren ezartzea eta operatzea
• 5. jarduera: Osasun-informazio-sisteman kudeaketa eta explotazioa
• 6. jarduera: Kanpoan osasun-datuen babesketa

Elkarte batean, gehienetan inplikitatutako jarduera 4-6 jarduera dira, bereziki hirugarrenaren SaaS-eko irtenbidea erabiltzean duten pertsona-dossieta kudeatzeko edo bere datuak kanpoan gordetzean. Beraz, edozein SaaS edo cloud prestataria osasun-datua manipulatzen duena HDS-en sertifikatua dela, dagokion jarduerentzat, egiaztatzea funtsezkoa da.

Testuinguru honetan, osasun-sektorean sinadura elektronikoan irtenbidea HDS-en sertifikatua eta barne dela elkarteari arriskua ez-fidagarritasun-ez areagotzea gabe dokumentu-fluxu sentsikorrak seguratzea ahalbidetzen du — adostasun argia, sarrera-formularioak, datorrenean datorren erresetaren aplikazioak demateriazlize.

Nola aktibatu HDS-en fidagarritasuna zure elkartean praktikatik?

Urratsa 1: Zure osasun-data kudeatzetako itzak mapatu

Edozein abiapuntu teknikoaren aurretik, zehatza igaropena egin behar da osasun-datua inplikitatutako kudeaketetan. Ariketa honek zuzenean GDPR-aren 30. artikuloan aurreikusitako kudeaketaren erregistroaren betebeharran sartzen da.

Kudeaketa bakoitzerako, dokumentatu:

• Jasotako datu mota (kategoria berezia GDPR zentzuan)
• Kudeaketaren helburuak
• Hartzailea eta azpikontratadoa
• Alojatzea bitartekoen (barruko zerbitzaria, gunegiaren, SaaS)
• Segurtasun neuriak lurrera

Mapaketa honek azkarra modu-arriskuaren zonetan eta auditatu beharreko prestatzaileak identifikatzea ahalbidetzen du.

Urratsa 2: Auditatu zure prestatzaileei eta fidagarritasun exijitu

HDS-en sertifikazioa COFRAC-ek (Frantziako Akreditazioaren Komiteak) akreditatutako erakundeak ematen dute. Alojatzaile baten sertifikazio-egoera egiaztatu dezakezu ANS-eko gunean (Osasunean Digitala Agentzian), HDS sertifikatutako alojatzaileen zerrenda publikoa eusten.

Sistematikoki exijitu zure prestatzaileetatik:

• HDS-en sertifikatu une-baliokalez
• Estalitako jardueraren zehaztutako perimetroaren
• Osasun-datuen babesaren baldintza kontratualak

Ez egin prestatzaileen adierazpen-asmoz nahikoa: sertifikazioa egiaztatzeko eta eguneratuta izan behar da.

Urratsa 3: Zure kontratua eta DPA-a modernizatu

GDPR-aren 28. artikuloak Data Processing Agreement (DPA) zehaztasuna dituen azpikontratadoarekin betetzea behartzen du. HDS testuinguruan, DPA hau gehitzea behar da espezifiko klausulak estaltzean:

• Konfidentzialtasun handiko konpromiso
• Ospitaleko osasun-informazioen 72 orduetan nota egiteko betebeharrak
• Datuak itzultzea eta arazoak atzera-aldatzeko baldintzak
• Datuak kokapen (ezinbestean EEE-ren testuinguruaren edo berdintza-erabakian benetatutako herrialdeetan)

Elkarte batzuek papelaren formularioak erabiltzean ari dira haien benetatuen adostasun-biltzeak biltzeko. Demateriazliza prozesua bateragarri sinadura elektronikoan soluzioan adostasun-denboraetan adostasun-behardunak eta autentifikazioa egiten du, legezko ondorio-bideratzen duen ebidentzia eragiten du.

Urratsa 4: Zure taldeak prestatu eta fidagarritasunaren erreferentea deseignatu

HDS-en fidagarritasuna ez da proiektu baten denara: prozesu etengabea da. Barruko erreferentea deseignatu (zure DPO bada, GDPR 37. artikuluak aurreikusitakoaren bidean, osasun-datua modu handian kudeatu orainian) eta ezarri zenbait sentsibilizazio-saio ezezagun taldeen aurtenitzean sentsikorren datuekin kontaktuan.

CNIL-ak 2024an argitaratutako azterlanaren arabera, osasun-datuen urraketak adierazitakoen % 60etik gehiago nortasun-akatsa inplikitatzen du (bidaltzea, galez hartzaileari, desgaitzaren absentzian). Prestakuntza, beraz, ahaztasun-neurri teknikoak bezain garrantzitsua da arrisku-murriztzearen aldean.

Sektore asoziatiboan berezitutako arazoak: mugatutako baliabideak eta aurrekontubenetako murrizketak

Sendagarri-dateak eta aurrekontu-murritzaren parada

Elkarte eta ONG-ak posizio berezian daude: maiz kudeatzen dituzte datuen sensiblea osasun-egoera (pertsona ahulenak, errefuxiatuak, neska-mutilek bakarrik) biziki gorputz-gisako eta finantzari baliabideak osasun-sektorean edo enpresetan osasun pribatuetan.

Errealitate honek estrategia aktuala betetzea adierazi beharreko pragmatikoa eta lehentasuntzat. ANS-eko gomendioaren arabera, txiki eta ertainak erakundeak honako urratsak hau gomendatzen dira:

1. Gertutasuna-fasea (0-3 hilabete): identifikazio eta neurria arrisku kritikoa (alojatzaile ez-sertifikatu, enkriptazioaren absentzian)
2. Solidotzea-fasea (3-12 hilabete): kontratua berritze, tresna bateragarria egitea, prestakuntza
3. Heldutasuna-fasea (12-24 hilabete): barruko auditake, etengabearen plana, urteak kudeaketa-berrikusketa

Sinadura elektronikoaren papera HDS-en fidagarritasunean asoziatiboan

Datuen demateriazlazioa arekoa eta gaztandutako zerbitzuetan ez dira egoki erabilitako apalez. Halaere, formularioak papelak ordezkazioa prozesu sinadura elektronikoa kalifikatua edo aurreratuak zerbitzuekin, zabalkeeta bere alorra gabe presente da:

• Gauzaketaren araketa: sinadura bakoitza denbora-utzizko eta egiaztatzeko nortasun batekin asoziatu, kudeaketaren legaltzea erakustean errazagoa da
• Akasten murrizpena: dokumentuak manipulazio gutxiago manualak sentsikorren
• Ariketa segurua: sinatura elektronikoz sinatuak daitezkeen dokumentuak gordetzeak ariketa zifratzaren kofren batean sartuta

Aukeran hastearren zure etrukturarantzat baldintza hautapena irtenbidean, gonbidatuta gure sinadura elektronikoan irtenbidean alderatzean merkatuan erotik zintzo ditugu eta HDS-en fidagarritasunean eIDAS-aren baldintzaren artean bereizketa.

Elkarte-balezioak erabiltzean jadanik RH kudeaketa-tresna edo duen benetatua-kudeaketaren artean badituzte askotan hartu onaren integratu sinadura elektronikoan bateragarria egiaztatzea interesago dituzte. Gure gida sinadura elektronikoan enpresan integrazioaren baldintzarik zehazten ditu xehearekin.

Azkena, jadanik datorren irtenbidea datorren tresna-datorren prestataria, datua eta fluxu-bera prestatari HDS sertifikatuaren osoa gabe gudaritea nahi baldin, gure migrazioaren eskaera zure datua eta lanburuak ez-laguntzerik gabeko itzultzea ahalbidetzen du.

Lege-esparrua osasun-datuen alojaketa agertzen dena elkarreko eta ONG-entzat

HDS esparrua sorketaren testuak

Frantziako sektore-regulazioaren osasun-datuen alojaketa konplexuen pile baten oinarrian dago zein, zehatza egitea funtsezkoa da edozein medikuen edo mediko-sozialaren datua manipulatutako elkarteak.

2016-41 legea (2016ko urtarralaren 26ko osasun-sistema moderninzazioko legea): denbora honetan koditzea osasun publikoan (8. L. 1111-8 artikulua) betebeharran osasun-datuen alojatzea HDS sertifikatua nahi nahi den lur-pertsona edo entitatea sartzen dituzte pertsona benetatuengatik eta datua kudeatzaleengatik.

2018-137 dekretua (2018ko otsailaren 26ko): jarduera sertifikazio-kasuan argitara, deribatzea-modaltasunean eta ekitatua sertifikazioa, baita akreditazio COFRAC behartzen orainian eskatutako baldintzak zehazten ditu (akreditatua erakundeakatan behartua).

2017ko abuztuaren 8ko agendia: osasun-informazio-sistemetan segurtasunaren erreferentziala zehazten ditu, HDS-en ebaluazioaren oinarri tekniko gisa beharzia da.

GDPR-aren artean artikulazioa

Erregulazioa (UE) 2016/679 (GDPR) datos pertsonalez protekzioa orokoa osatzen du. Haren jarduera betetzez eta HDS baldintzak betean kudeaketa:

• 9. artikulua: osasun-datuak kategoria berezia da datua zeinaren kudeaketa debekatua da batean printzipioan, ezezkoan kanpotik sailkatua (adostasuna boteratzea, osasun-aintzat beharra, interes publikoa, etab.)
• 28. artikulua: osasun-datua kudeatzea azpikontratadoarekin egin beharreko eskritura kontratu zehatza (DPA)
• 32. artikulua: elkartea bete behartzea neurri teknika eta organisazioaren aukerak (zifratze, pseudonimizazioa, sarbide-kontrola)
• 33. artikulua: osasun-datuen urraketak CNIL-ari bildeta 72 orduetan agin behar zaio
• 35. artikulua: Analisi-epea Datuaren Protekzioarekin (AIPD) behartua zer kudeaketa arriskuari gaitasuna handiago pertsonen besdeengatik dakarren

Arriskuaren lege-osoa-bete ez egitean ez betetze-azala

HDS-en esparrua ez betetzeak elkartea santzio-mailekin jaratzea irekitako:

• CNIL-eko administrazioaren-santzio: 20 milioi eurora edo merkataritza-aurrekontuaren % 4etik gehiago mundialean (GDPR 83. artikulua, §5) akasen grabearetik. Elkarteak, CNIL hobetzea dardera baliabideak, neurri-santzio publiko baina txiki bada argitara da aurtenitu.
• Nortasun penala: 226-13 Kodigo Penalera zehazten du urtebete enpentzea eta 15 000 euroko dirua osasun sekretuaren urraketagatik.
• Nortasun zibila: benetatua-gabezia zauritzen dituzte elkartea beraien 1240 eta besteen Kodigo Zibilaren oinarrian nortasun-betetzen ahar gutxiagotik zauritzen dituzte zauriak.
• Agremen-suspentzio: orokorraren agentziek akreditatutako elkarte agremena (ARS, departamentuaren kontseilua) detzakete eman osasun-datuen babesa hontan emona agintean enpresa okerragoa.

Kontuan hartzea ere beharrean dago NIS2-eko direktiba (UE 2022/2555 direktiba, 2024ko maiaren 21ko 2024-449 legeak Frantziara iganduta) zabaltzen du cybersegurtasunaren betebeharra entitate zabalagoan, potentzialan tartean elkarte handiak osasun-oinarritik kritikoa kudeattzena.

Erabileraren espekulaketak: HDS-en fidagarritasuna praktikatik elkarte eta ONG-entzat

Espekulaketa 1: Lagunearen laguntza-elkartea, 500 duni-dossieta kudeatzena

Adinedunak dituzte laguntza-elkartea, denbora zabalez, 500 dossieta aktiboekin, patologia, erresetarekin dituzte eta asagida-ebaluazioek (GIR atarean). Datua alojatzen batean ez sertifikatua HDS ez asoziatuka-ez logiko prestatari nublean.

Auditatu barrutik sortzean, aplikazioa-espazioa eginean, elkartearen ez-fidagarritasun honi agertzen du. Eta migratzen du HDS sertifikatua alojatzaile batean 4 eta 5 jarduerentzat, amaitzen duen DPA-a zure prestatari logikoan eta egiten den sinadura elektronikonan soluzioa adostasunaren formularioaren demateriazlizar eta nork-baituak adisitzen.

Emaitza agertzena: adostasun-bidea murrizpenean % 70 (batez beste, papelean 12 egunak ez 4 egunak), kaltea datorren dokumentua sortzea ez papelean soiltzean, eta cyber-asegurantzia hobekuntzea aloajatzaile agertzen fidagarritasu.

Espekulaketa 2: ONG internazionala arrotzean mediko-misioak koordizatzen

Ertzerietan giza-laguntza osasunean ONG jabeago osasun-datuak batekin, bere misioen esparru honetan, populazio benetatuengatik askatzena biltzen duen herrialderen, zuzentasun zentralizatua Frantzian. IT-taldea osatzen dute bi persona boluntariak.

Barruko oinarri sertifikatua HDS mantentzea ez-zaila, ONG-a aukeratzen du 100 % SaaS-eko arkitektura alojatzaile sertifikatuarekin HDS estaliarekin 1 eta 6 jarduerak. Denbora honetan ohargarria sinadura elektonikoaren prozesu mediko-protokoloen eta adostasun-formularioen demateriazliz (sinadura deskonexio-moduan sinkronizatua).

Emaitza agertzena: HDS-en fidagarritasun eta GDPR 6 hilabete guztizean, IT gehigarriko kontratazioarik gabe, aurrekontu murrizpenean % 40 barruko oinarriarekin alderatuta, eta intituzioa datorren entzuleak erantzun-ahalmenaren (AFD, Europar Batasuna) datuen fidagarritasunaren sertifikazioaren behardunak.

Espekulaketa 3: Asoziatibaren sarearen osasun-komunitate zentroak kudeatzen

Elkarte-federazioa, ehun osasun-komunitate zentroak (gutxi gorabehera 8 000 paziente aktiboak) osatzen ditu, datorren paziente-logikoan erabiltzen du sareetan eta laguntza-osagarria enplazuekin. Aldi honetan datuen osasun-datorren arteko hartzea, enkriptatu gabe mezatzean, HDS-en erreferentziala zuzenean urratsetan.

Elkarte batek guztiz egin ordezkapena bere informazio-sistema, prestatzaile sertifikatuaren laguntza-HDS-an, ezartzen du segurua osasun-mezatzena (MSSanté), eta ez-datorren formulario guztiak adistzen eta adostasunean sinadura-elektronikoan plataformara bateragarri eIDAS-an. AIPD bakoitzari buruzko kudeaketa arriskugarria.

Emaitza agertzena: nulua osasun-datuen urraketak agin 18 hilabeaena (bi ospitalartaera-aldia aurreko pausitzean), sarrera-denbora batez beste % 35 murrizpen, eta paziente-dossietan osotasun-tasa hobekuntza % 22 formulario-papelaren desonduz.

Ondorioa

Aktibatu HDS-en fidagarritasuna osasun-datuentzat sektore asoziatiboan eta ONG-etan ez da aukera handia erakundeetan osasun-enpresetan: lege-betebeharra dena osatzen duen edozein entitate, edozein datorren edo lege-egoeraren arabera, osasun-datua karakter pertsonalez alojazen edo kudeatzean. Esparrua-ezezaguna ez duelako ez eman ardura.

Zale orokorra: metodikoa urratsetan — artekaritza, prestatzaileen audit, kontratua berritze, prestakuntza — ahalbidetzen dute konplentzia neurri-saila osozko edota baliabide mugatua zabalez. Demateriazliza adostasun eta sentsikorren dokumentua sinadura elektronikoan plataformaz sertifikatua, bidasa bat bereziki neurrituz arrisku murrizpen eta hobekuntza operatzean.

Certyneo-ak sinadura elektronikoaren plataforma datorren eIDAS-en, asoziatibaren sektoreko murrizketenean adokatu eta oinarri batean alojatzen ditu HDS sertifikatua. Harremandu gure taldea audit-askietan zure dokumentazio-egoeraren eta igortzea nola osagarri zure osasun-datuen fluxuak seguratu gaurkoa.