Jump to content
  • 0
jul_des

Hébergeur Filemaker agréé pour données de santé

Question

Bonjour à tous !

Je me posais la question s'il existait ou si vous connaissiez un hébergeur Filemaker agréé pour les données de santé.

Malheureusement, je ne trouve pas la solution à mon problème.

Dois-je passer par un hébergeur traditionnel agréé et gérer une machine avec Windows serveur dessus ?

Merci pour vos réponses.

Bonne journée !

Share this post


Link to post
Share on other sites

9 answers to this question

Recommended Posts

  • 0

Une telle agrégation est inaccessible à FileMaker.

Voici la liste complète des hébergeurs agréés. Attention, il ne sont pas agréés pour tout type d'hébergement.

Mais l'agrégation n'est nécessaire que dans des cas bien précis, notamment quand vous partagez les données entre plusieurs institutions. Quand bien même, on peut en général trouver des solutions pour anonymiser les données qui doivent l'être.

http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

Share this post


Link to post
Share on other sites
  • 0
Il y a 18 heures, fabriceN a dit :

Une telle agrégation est inaccessible à FileMaker.

Pour être plus précis, le contrat de licence de FileMaker n'autorise pas vraiment l'usage de leurs produits pour des données de santé liées à des patients dans sa licence d'utilisation, même si elle ne fait référence qu'à des "matériels" pouvant provoquer la mort de personnes ou des dommages corporels :

Citation

Restrictions sur l’utilisation. LES LOGICIELS NE SONT PAS DESTINES A ETRE UTILISES DANS LE CADRE DU FONCTIONNEMENT D'EQUIPEMENTS NUCLEAIRES, DE LA NAVIGATION AERIENNE, DES SYSTEMES DE CONTROLE DU TRAFIC AERIEN, DE MATERIEL D’ASSISTANCE RESPIRATOIRE OU TOUT AUTRE MATERIEL DANS LESQUELS LE DEFAUT DE FONCTIONNEMENT DES LOGICIELS POURRAIT CAUSER LA MORT, DES DOMMAGES CORPORELS OU DE GRAVES DOMMAGES MATERIELS OU A L’ENVIRONNEMENT.

De plus, la structure même de la plateforme FileMaker n'est techniquement pas conforme aux pré-requis ASIP Santé en France.

Un hébergeur agréé ASIP Santé ne proposera donc certainement pas la technologie FileMaker sur ces serveurs. Et nous même en tant qu'hébergeur FileMaker, ne pouvant pas être conforme à ces pré-requis, refusons l'hébergement de bases de données de ce type sur nos serveurs.

Enfin, la nouvelle régulation GDPR me rend très inconfortable dans la gestion (comme l'hébergement) de données de santé sur cette plateforme.

Cela fait donc 2,8 bonnes raisons pour être très prudent sur l'usage de FileMaker dans cet environnement.

 

ModeVendredi [ "LicenceSécuritéGDPR" ; "OnNeJouePas/PlusAvec" ]

Share this post


Link to post
Share on other sites
  • 0

Il y a une différence entre une donnée médicale et une donnée personnelle (soumise au RGPD), et aussi entre une donnée médicale et du matériel respiratoire.

Être prudent n'implique pas de jeter le bébé avec l'eau du bain. Il y a des choses qu'on peut faire tout en étant parfaitement conforme aux règlementation les plus strictes, et d'autres qu'on ne peut pas faire (dont beaucoup qu'on n'a jamais pu faire, soit dit en passant)

 

Share this post


Link to post
Share on other sites
  • 0

Super,

Merci beaucoup pour vos réponses précises et rapides !

Je peux donc laisser tomber les données de santé pour du FileMaker hébergé.

Share this post


Link to post
Share on other sites
  • 0

Ben comment dire… les réponses étaient un peu plus nuancées que cela…

Share this post


Link to post
Share on other sites
  • 0

Je me suis entretenu avec Active Developpement à ce sujet, en effet, le stockage de données de santé quand il s'agit de patient est impossible en FileMaker et il s'applique dès que l'on stocke le nom et le prénom d'après la personne que j'ai eu. Donc, dans le cas de données personnelles de patient, une solution FileMaker n'est pas possible.

Share this post


Link to post
Share on other sites
  • 0

Bonjour,

Je réactive ce post, car j'ai ce problème. Ne pourrait-on pas envisager de ne stocker qu'un hash (SHA2) de nom+prenom+dateNaissance dans la base ? Dès lors, il n'y a plus de données nominatives stockées dans la base. Bien sûr, pour accéder à la fiche d'un patient, il faut saisir nom et prenom et date de naissance pour qu'un script recalcule le hash avant d'aller chercher la bonne fiche.

Je suis intéressé pour des fichiers de recherche clinique, donc sur une durée limitée (trois ou quatre ans), d'autant plus que ce type de fichier ne me semble pas (mais je ne suis pas juriste) rentrer dans la définition de la loi :

«Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet »
 L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016

Un fichier de recueil clinique, pour une étude donnée, limitée dans le temps, n'est pas une activité de diagnostic, de prévention, de soins ou de suivi médico-social.

Dès lors, on pourrait héberger de tels fichiers sur un serveur FileMaker, dans un data center non accrédité données de santé.

Des avis sur le sujet ?

 

Merci

 

Share this post


Link to post
Share on other sites
  • 0

Bonjour,

J'ai récemment eu à me pencher sur cet aspect de la licence FileMaker pour un client médecin spécialiste, ce qui m'a donné l'occasion d'échanger avec le service juridique de FileMaker. Leur réponse est intéressante et nous ouvre des portes.

J'ai écrit à FileMaker :

Here is my point: As you can read in the "FILEMAKER PRO ADVANCED SOFTWARE LICENSE", at the beginning of page 4 :
THE SOFTWARE IS NOT INTENDED FOR USE IN THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL SYSTEMS, LIFE SUPPORT MACHINES OR OTHER EQUIPMENT IN WHICH THE FAILURE OF THE SOFTWARE COULD LEAD TO DEATH, PERSONAL INJURY, OR SEVERE PHYSICAL OR ENVIRONMENTAL DAMAGE.

[On notera que la traduction française de ce paragraphe (mentionnée dans le post d' @Olivier Devriese) pourrait être discutée]

Please let me give you an example.

A [specialist physician] operates [...] his patients with a laser treatment [...].

He needs a FileMaker app that would:
1. Let the patients fill in some medical information
2. Read and extract some numbers from pdf documents (which are produced by machines following a medical examination of the patient)
3. Proceed these numbers and give the results of calculations

The [specialist physician] would then manually enter these results (numbers produced by FileMaker) in the laser machine, he will push the button, and this machine will "operate" the patient.

Are we in or out the limit of FileMaker license?


La réponse de leur "legal team" est la suivante :

Section 2 in the FMPA EULA is intended to address situations in which the failure of the software could lead to death, personal injury, etc. In the scenario described below it doesn’t sound like the software is being incorporated or directly used by the machine, but instead the [specialist physician] is using the software to make some calculations that he/she would then input into another machine. It doesn’t fall squarely under the prohibition that section 2 was intended for. However, FileMaker cannot provide any advice as to how you should or should not use the software. 

J'en conclus que nous pourrions utiliser FileMaker dans un contexte médical tant que "the software is [not] incorporated or directly used by [a] machine".

Share this post


Link to post
Share on other sites
  • 0

Bonjour,

Merci pour votre réponse. Je suis le délégué aux données personnelles de la SOFCOT (Société Française de Chirurgie Orthopédique et Traumatologique), et moi-même chirurgien.

En fait, on parle de deux problèmes différents :

- la connection directe de FileMaker à des modalités techniques (laser, robots opératoires, imagerie, etc.), pour lesquelles FileMaker ne veut pas prendre de risques, si les données envoyées par FileMaker sur ces machines peuvent en modifier le fonctionnement, et, par la même, influer directement sur le patient.

- ce qui n'est pas du tout le cas de la gestion des données médicales. "L'influence" de FileMaker sur un patient ne peut alors se faire que via une personne humaine, qui est alors "responsable" de ce qu'elle fait.

Pour ce qui est de l'hébergement des données de santé, j'ai pu, depuis mon intervention sur ce forum, discuter avec une juriste de la CNIL. L'hébergement des données de santé est régit par le code de santé publique (art L-1111-8 et suivants) et précise: "I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. " Or, les fichiers de recherche médicales ne répondent pas à cette définition. Ils sont donc des exceptions, même si la loi ne le précise pas explicitement, tout comme l'est un fichier géré par un médecin sur sa propre machine (pas d'hébergement par un tiers).

Donc :

- un médecin peut parfaitement gérer son cabinet, sur sa propre machine, avec FileMaker (ce qui est fait depuis longtemps...). Ce n'est que s'il veut héberger son fichier dans un data-center que le data center doit être agréé hébergeur de données de santé.

- un hébergeur FileMaker peut parfaitement héberger des données de recherche médicale, sans être agréé hébergeur de données de santé. Mais il faut impérativement :

    - que le fichier soit déclaré en tant que recherche clinique (passage par l'INDS, Institut National des Données de Santé ou le SNDS, pour extraction des données des fichiers nationaux) pour les études sur dossier, ou passage par un CPP (comité de protection des personnes) et déclaration à l'ANSM pour avoir un un numéro européen de recherche clinique, sous les règles de la loi Jardé, pour les études concernant la personne humaine.

    - et que la gestion de ces données réponde à toutes les règles du RGPD, évidemment.

Cela devrait ouvrir quelques marchés aux hébergeurs FileMaker, car c'est bien plus facile de développer sous FileMaker, que de passer par les offres d'hébergeurs agréés, avec des outils php/mySQL certes performants, mais beaucoup moins souples que File Maker, dans les offres proposées.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...