Votre question concerne quel type d'offre ?
Votre question concerne quel couloir Ségur ?
Votre question concerne quel dispositif Ségur ?
Votre question concerne quel produit ou service produit?
Votre question concerne quelle thématique ?
Si un établissement recueille les non-oppositions dans le RI et souhaite mettre à jour le flux identités pour transmettre cette info au DPI, l'éditeur de DPI ne peut pas facturer la mise en oeuvre de ce flux, comprise dans la Prestation vague 2. En revanche, l'éditeur du RI est libre de sa stratégie commerciale vis à vis de l’établissement qui souhaite installer cette fonctionnalité.
Cette réponse vous a-t-elle été utile ?
Le montant de la facture transmise au client et à l'ASP en fin de projet doit correspondre au montant total (100%) - la partie "Prestation Segur" doit être reportée dans le JSON et doit être inférieure ou égale au montant déclaré lors de l'avance (dépôt du dossier).
Cette réponse vous a-t-elle été utile ?
La liste des éléments et mentions obligatoires à faire figurer dans la facture sont détaillés au chapitre 12 du document "SONS-Modeles_de_documents-BDC-MOM-VA.pdf" disponible en cliquant ici
Cette réponse vous a-t-elle été utile ?
Pour rappel, l’établissement ou professionnel de santé ne peut bénéficier que d'une seule prestation Ségur financée par l'Etat par dispositif SONS. Si le PS/ES souhaite changer de solution logicielle après la signature du bon de commande, il doit s'accorder avec l'éditeur dont le bon de commande a été validé par l'ASP afin d'en demander l'annulation. Si cet éditeur avait perçu l'avance, il recevra un ordre de recouvrement de l'ASP pour la rembourser. A l'issue de l'annulation par l'ASP, un nouveau bon de commande pourra être traité. Dans tous les cas, cette nouvelle demande devra respecter la date de fin de dépôt des demandes d'avance.
Cette réponse vous a-t-elle été utile ?
Les conditions portant sur la réception des Prestations Ségur sont définies au chapitre 6.2 des Appels à Financement pour chaque SONS.
L’Opérateur de paiement met à disposition des Fournisseurs et Clients finaux, ainsi que les modèles de Vérification d’Aptitude (VA) qui traduisent précisément le périmètre de responsabilité de chaque éditeur dans la vérification des flux RI – DPI – PFI.
Sont autorisées les signatures de VA attestant de la réalisation d’une Prestation Ségur pour une solution logicielle A en l’absence d’une autre solution logicielle B (pour des raisons indépendantes de l’éditeur de la solution A) devant échanger des flux avec la solution logicielle A. L’éditeur de la solution A apportera les correctifs nécessaires une fois que la mise à jour du logiciel B aura pu être réalisée.
Cette réponse vous a-t-elle été utile ?
Oui, le versement de l'avance DRIMBox est conditionné par l'enregistrement préalable d'une commande RIS comme précisé dans l'appel à financement DRIMBox.
Il reste cependant possible de signer une commande DRIMBox sans commande RIS.
Cette réponse vous a-t-elle été utile ?
Dès que les attestations auront été signées par les établissements de santé / professionnel en situation d'exercice libéral, vous pourrez directement les télécharger sur le formulaire de contact de l'ASP
Cette réponse vous a-t-elle été utile ?
La CNIL propose sur son site une mappemonde sur le niveau de protection des données reconnu dans les divers pays du monde qui identifie ceux qui n’ont pas un niveau de protection adéquat et pour ceux qui ont un niveau de protection adéquat mais qui malgré tout, comme les États-Unis par exemple, ont des législations qui permettent un accès non autorisé.
Cette réponse vous a-t-elle été utile ?
En cas de rachat d’un hébergeur ou d’un sous-traitant ultérieur (achat d’un datacenter actuellement détenu par un fonds de pension canadien par un fonds de pension US etc.) que faire ?
Cette réponse vous a-t-elle été utile ?
La table de correspondance avec SecNumCloud fournie en annexe du référentiel est uniquement fournie à titre indicatif. Elle n’est pas à compléter.
Cette réponse vous a-t-elle été utile ?
Tout sous-traitant ultérieur réalisant tout ou partie d’une des six activités identifiées dans l’article R1111-9 du Code de la Santé Publique doit figurer dans le tableau des garanties.
Cette réponse vous a-t-elle été utile ?
L’Hébergeur doit renseigner la liste des réglementations extra communautaires auxquelles il est soumis (FISA, Cloud Act, etc.) dans la documentation à fournir à son client.
S’agissant de la transparence (tableau des garanties publiques) il doit indiquer s'il est soumis ou pas un risque d'accès tel qu’évoqué dans la question et citer le pays concerné.
Cette réponse vous a-t-elle été utile ?
Le rôle de l’organisme certificateur est de s’assurer que les éléments attendus sont mis à disposition des clients des hébergeurs et du grand public et non de les évaluer. En cas de nécessité, la CNIL est l’autorité compétente pour contrôler la véracité de ces déclarations et sanctionner les éventuels manquements.
Cette réponse vous a-t-elle été utile ?
Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification ) :
- la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
- la sécurisation de la procédure d’accès ;
- la collecte et la conservation des traces des accès effectués et de leurs motifs ;
- la validation préalable des interventions (plan d’intervention, processus d’intervention).
Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés.
Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.
Cette réponse vous a-t-elle été utile ?
Une période de transition, calculée à compter de la date de publication de l’arrêté du 26/04/2024, a été fixée à 6 mois (soit le 16/11/2024) pour les organismes de certification et à 24 mois pour les hébergeurs déjà certifiés (soit le 16/05/2026). Pour plus d'information, veuillez consulter la note de transition détaillée publiée sur le site du COFRAC
Cette réponse vous a-t-elle été utile ?
Oui : l'utilisation d'un code d'une nomenclature au lieu d'un libellé n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.
Cette réponse vous a-t-elle été utile ?
Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.
Cette réponse vous a-t-elle été utile ?
Oui : le chiffrement n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.
Cette réponse vous a-t-elle été utile ?
Dans le cadre d’un appel d’offres pour un système d’information nécessitant un hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à l’obligation de certification HDS.
Aussi :
- l'organisme qui lance l'appel d'offre doit prévoir une exigence relative à l'obligation d'être certifié HDS dans son appel d'offre ;
- le titulaire du marché doit obtenir la certification avant l’hébergement des premières données de santé personnelles « réelles ».
Cette réponse vous a-t-elle été utile ?
Les modalités sont définies dans les Référentiels d’Accréditation et de certification HDS. Ces deux documents sont téléchargeables sur le site de l’ANS.
Cette réponse vous a-t-elle été utile ?
Vous ne trouvez pas la réponse à votre question ?
Posez nous votre question !
Besoin d'une mise en relation avec nos experts dédiés ?
