Cette étude de cas montre comment la gouvernance informatique a aidé Pervasive Health à obtenir la certification ISO 27001.
Étude de cas sur la santé omniprésente
Le traitement des données de santé sensibles nécessite la mise en œuvre d’une technologie, de normes et de processus rigoureux. Pour Pervasive Health, les choses se passent comme d’habitude, car elles permettent aux entreprises et aux professionnels de la santé de découvrir chaque jour un aperçu de la santé. Pervasive Health a choisi la gouvernance informatique pour sa mise en conformité.
Certification accréditée ISO 27001 pour les opérations américaines et européennes de l’organisation, ce qui en fait la plate-forme la première du genre à atteindre cet objectif.
Contexte
Pervasive Health est une société européenne avec une clientèle mondiale qui fournit la plate-forme révolutionnaire pour la santé, Apervita®. Apervita est puissant et sécurisé, permettant aux entreprises de santé et aux professionnels de la santé de connecter des informations basées sur des diagnostique et des pratiques de santé n’importe où. La plateforme permet aux médecins et aux cliniciens de gagner du temps et de l’argent grâce à un accès rapide et intelligent à une source unifiée d’informations sur les patients.
Les données sont stockées de manière native dans des concepts de santé standard auxquels tout professionnel de la santé sera familier, plutôt que dans des structures de données propriétaires. Tout professionnel de la santé peut créer, publier et partager des informations sur la santé sur la plateforme.
L’équipe de Pervasive Health tire parti de l’expérience de nombreux secteurs de l’industrie, notamment les soins de santé, les télécommunications, la banque, le trading algorithmique et le transport aérien. En conséquence, la plate-forme Apervita est un pur-sang, intégrant les meilleures technologies pour gérer les mégadonnées, la confidentialité, les informations personnelles identifiables (PII), les informations de santé protégées (PHI), HIPAA, l’authentification, les autorisations, les audits, le cryptage des données, évolutivité globale et gestion des opérations unifiées.
Exigences
La nature des données que Pervasive Health traite et protège pour le compte de ses clients fait de la certification ISO 27001 un progrès judicieux en termes de sécurité et de gestion.
Le mantra de Pervasive Health consiste à habiliter les entreprises et les professionnels de la santé à créer et à partager des informations sur la santé afin qu’ils puissent travailler chaque jour. La plateforme Apervita comprend essentiellement un dossier de santé intégré de toutes les données actuelles et historiques sur les patients. Il relie ces données à une puissante communauté, rédigée par les partenaires de la plate-forme. L’approche, intégrée à la plate-forme de la société, libère la valeur des informations sur les patients, en unifiant le parcours du patient dans les établissements de soins, en rassemblant des données cliniques, financières et opérationnelles et en les connectant au marché de la santé.
Processus
Pervasive Health a contacté Data Proof / EuRgpd pour fournir l’assistance en matière de conseil nécessaire à la création d’un système de gestion de l’information conforme à la norme ISO 27001. Cela nécessitait l’identification de toutes les interfaces et dépendances avec des fonctions ou des services ne relevant pas de sa portée, et une réflexion sur la manière dont elles pourraient être traitées. La portée exacte du projet et les objectifs en matière de sécurité de l’information ont conduit à la politique de sécurité de l’information qui ont été déterminés par la direction de Pervasive Health avec le soutien de nos consultants en gouvernance informatique. Cela comprenait l’aide à l’élaboration du cadre d’évaluation des risques requis et des recommandations sur les critères d’acceptation des risques.
Les travaux menés dans le cadre de cette phase d’appui ont également aidé le responsable de la sécurité de l’information de Pervasive Health à développer le profil de l’équipe de projet et l’ébauche d’un plan de travail. Data Proof / Eurgpd a fourni un support de conseil ‘mentor et coach’. Afin de se conformer à la norme ISO 27001 et aux exigences du Centre d’information sur les soins de santé et les services sociaux (anciennement Exigences du NHS Connecting for Health). Une évaluation des risques liés à la sécurité des informations basée sur les actifs a été réalisée. Ceci a été réalisé en menant des entretiens avec les propriétaires d’actifs afin de produire un registre d’actifs, puis en évaluant les risques potentiels pour les actifs. Une fois que les risques ont été identifiés et que les décisions ont été prises sur la manière de les gérer, un plan de traitement des risques complet a été élaboré, ce qui a conduit à l’élaboration d’une déclaration d’applicabilité pour se conformer à la norme.
Pervasive Health disposait déjà de processus internes puissants pour protéger les données; Cependant la norme ISO 27001 les a aidés à prendre en compte tous les risques auxquels ils avaient été confrontés.
La gouvernance informatique a aidé Pervasive Health à créer la documentation ISO 27001 en collaboration avec l’équipe, qui a engagé des ressources pour introduire les contrôles de sécurité.
Rinaldo : «La gouvernance informatique nous a tenus sur la route jusqu’à l’arrivée du vérificateur externe. La formation qu’ils ont fournie Data Proof/EuRgpd était très utile, de même que les modèles de document. Avoir des yeux différents à chaque étape était l’une des raisons pour lesquelles nous nous sommes sentis confiants depuis le début, et le résultat de l’audit final l’a justifié. «
Aaron fait écho à la confiance de Rinaldo dans l’approche de gouvernance informatique: «La sécurité de l’information est un élément essentiel de notre activité. Nous voulions donc que tous les aspects de notre système ISMS soient corrects. Il est essentiel de faire le lien entre les professionnels de la santé et des informations sur la santé afin d’obtenir les meilleurs résultats possibles tout en minimisant les coûts. À mesure que les informations sur la santé deviennent plus omniprésentes, nous devons garantir l’intégrité des données et des plates-formes qui fournissent ces informations.
Une plate-forme de santé viable doit être conçue autour du principe de confidentialité, d’intégrité et de disponibilité. Grâce à la plate-forme Apervita, les clients et partenaires de Pervasive Health peuvent créer des informations complètes sur les patients, les populations et les performances, et les connecter à leur flux de travail. C’est grâce à la plate-forme de service nouvelle génération de Pervasive et à la confiance de des utlisateurs que la sécurité de l’information fait partie intégrante de notre organisation et de nos processus. «
Rinaldo a conclu: «Nous recommandons aux fournisseurs de services gérés soucieux de la sécurité d’adopter les meilleures pratiques ISO 27001 et d’obtenir une certification accréditée avec le soutien de cabinet extérieur. Leurs consultants nous ont montré comment intégrer la sécurité de l’information dans nos pratiques à tous les niveaux de l’organisation, afin que notre personnel, nos processus et notre technologie travaillent ensemble pour protéger les dossiers de santé confidentiels de nos partenaires. ”
Résultat
Pervasive Health a passé avec succès la deuxième étape de l’audit ISO 27001 le 19 juillet 2018. En conséquence, l’organisation a été recommandée pour certification par Det Norske Veritas Ltd (DNV).
Prochaines étapes
Pervasive Health entend promouvoir activement sa certification ISO 27001 sur son nouveau site Web et expliquer aux partenaires potentiels pourquoi son approche est rigoureuse et efficace.
«La réponse de nos partenaires a été positive et rassurante», déclare Aaron. Nous prévoyons de saisir davantage d’opportunités commerciales et de croître plus rapidement parce que nous avons adopté une position responsable en matière de sécurité sur un marché naturellement senssible en matière de protection des données personnelles. Pervasive Health est fier d’être une organisation certifiée ISO 27001.