برنامج التطبيب عن بُعد المعتمد HDS: 7 معايير يجب التحقق منها قبل الشراء

Q: ما الفرق بين HDS وISO 27001؟

تُصادق HDS على مُضيف السحابة. وتُصادق ISO 27001 على نظام أمن الناشر للبرنامج. وكلتاهما متكاملتان.

Q: هل البرنامج المُستضاف على AWS متوافق بالضرورة مع HDS؟

لا. AWS معتمدة بشهادة HDS لبعض المناطق، لكن البرنامج نفسه يجب أن يحترم متطلبات الأمن.

Q: كيف نتحقق من أن ناشرًا ما معتمد فعلًا بشهادة ISO 27001؟

اطلب الشهادة مع رقم التسجيل وتاريخ انتهاء الصلاحية. MedConnect معتمدة بشهادة ISO 27001:2022 منذ 12 يونيو 2024.

Q: هل يُغطّى تمويل البرنامج من قبل صندوق التأمين الصحي Assurance Maladie؟

جزئيًا. 350 €/سنة عن المعدات الفيديو والبرنامج، و175 €/سنة عن الأجهزة المتصلة. ويمكن تمويل الباقي عبر التأجير أو الإعانات.

عندما تبحث مؤسسة صحية عن برنامج للتطبيب عن بُعد، كثيرًا ما تظهر شهادة HDS بوصفها المعيار الرئيسي. وهي شهادة ضرورية، لكنها غير كافية. فمضيف معتمد بشهادة HDS يضمن أن بياناتك الصحية مُخزَّنة وفق المعايير الفرنسية، لكنه لا يضمن أن البرنامج نفسه آمن، أو قابل للتشغيل البيني، أو ملائم لممارستك.

يُفصِّل هذا الدليل المعايير السبعة التي ينبغي لفريق المشتريات التحقق منها قبل اختيار برنامج للتطبيب عن بُعد معتمد بشهادة HDS. ويُرفَق بكل معيار الأسئلة الملموسة التي ينبغي طرحها على الناشر.

لماذا تُعدّ شهادة HDS غير قابلة للتفاوض

شهادة HDS (استضافة البيانات الصحية) إلزامية في فرنسا لكل برنامج يُخزّن البيانات الصحية ذات الطابع الشخصي أو يعالجها أو ينقلها. ويستند هذا الالتزام إلى المادة L.1111-8 من قانون الصحة العامة.

عمليًا، يجب على المُضيف أن يُثبت امتثاله لمتطلبات معيار ISO 27001 المُطبَّق على سياق الصحة، مع عمليات تدقيق منتظمة من قبل هيئة معتمدة. وتُغطي شهادة HDS الأمن المادي لمراكز البيانات، وإدارة الوصول، والتشفير، والنسخ الاحتياطي، والتتبع.

لكن انتبه: شهادة HDS تخص مُضيف السحابة، لا البرنامج نفسه. فقد يستضيف ناشرٌ ما خدماته لدى مزوّد معتمد بشهادة HDS بينما يحتوي برنامجه على ثغرات أمنية كثيرة. ومن هنا تنبع ضرورة التحقق من معايير أخرى.

المعيار 1: شهادة HDS لمضيف السحابة

المعيار الأول هو الأكثر بداهة. تحقق من أن مُضيف السحابة يمتلك شهادة HDS سارية ومُدقَّقة. اطلب الشهادة وتحقق من تاريخ انتهاء الصلاحية.

السؤال الواجب طرحه: «من هو مُضيفكم المعتمد بشهادة HDS وما تاريخ آخر عملية تدقيق أجريتموها؟»

تستضيف MedConnect خدماتها على AWS منطقة eu-west-3 (باريس)، وهو مُضيف معتمد بشهادة HDS. وتبقى البيانات الصحية على الأراضي الفرنسية.

المعيار 2: شهادة ISO 27001 الخاصة بالناشر

تخص شهادة ISO 27001 نظام إدارة أمن المعلومات لدى الناشر نفسه، لا لدى المُضيف. وهي تُثبت أن الشركة التي تُطوّر برنامج التطبيب عن بُعد تطبّق عمليات أمنية مُهيكَلة: إدارة الثغرات، والتحكم في الوصول، وخطة استمرارية الأعمال، والتدقيق الداخلي.

السؤال الواجب طرحه: «هل شركتكم معتمدة بشهادة ISO 27001؟ ومن قِبَل أيّ هيئة وفي أيّ تاريخ؟»

إنّ Promotal MedConnect معتمدة بشهادة ISO 27001:2022، الصادرة في 12 يونيو 2024 عن British Assessment Bureau.

المعيار 3: الامتثال للائحة العامة لحماية البيانات RGPD وسياسة البيانات

تفرض اللائحة العامة لحماية البيانات RGPD التزامات مُحدَّدة على معالجة البيانات الصحية: الأساس القانوني، وتقليل البيانات، والحق في المحو، والإخطار بالانتهاكات، وسجل المعالجات، وتعيين مسؤول حماية البيانات DPO.

الأسئلة الواجب طرحها:

«هل لديكم مسؤول حماية بيانات DPO معيَّن؟»
«أين تُخزَّن البيانات ماديًا؟»
«هل تمر البيانات خارج الاتحاد الأوروبي في أيّ لحظة من المعالجة؟»
«ما البروتوكول الذي تتبعونه في حالة وقوع انتهاك للبيانات؟»

لدى MedConnect، تُشفَّر البيانات بمعيار AES-256 أثناء التخزين، وبمعيار TLS 1.3 أثناء النقل. وتُجرى النسخ الاحتياطية كل 6 ساعات وتُكرَّر جغرافيًا. ولا يجري أيّ نقل للبيانات خارج الاتحاد الأوروبي إلا بطلب صريح من العميل لنشر on-premise دولي.

المعيار 4: الاستضافة في فرنسا

قد تكون لمضيف معتمد بشهادة HDS مراكز بيانات خارج فرنسا. غير أنّ بعض الجهات (المستشفيات العامة، ودور رعاية المسنين EHPAD، وجمعيات المهنيين الإقليمية CPTS الممولة من الوكالات الإقليمية للصحة ARS) تشترط الاستضافة على الأراضي الفرنسية ضمنيًا أو صراحةً في كرّاس الشروط.

السؤال الواجب طرحه: «في أيّ datacenter بالتحديد تُستضاف البيانات؟ هل يمكنكم تقديم العنوان المادي؟»

تستخدم MedConnect خدمة AWS eu-west-3 في باريس. وللنشر الدولي، تتوفر خيارات on-premise للعملاء الذين يطلبون السيادة المحلية للبيانات.

المعيار 5: التشغيل البيني مع البطاقة الصحية Carte Vitale وأنظمة الصحة

يجب أن يندمج برنامج التطبيب عن بُعد المعتمد بشهادة HDS في منظومة الصحة الفرنسية. وتشمل عمليات الدمج الحرجة:

Stellair / Olaqin: قراءة البطاقة الصحية Carte Vitale وتقديم صحائف الرعاية الإلكترونية FSE
DESMOS: شبكة الفوترة الصحية
DMP Connect: تغذية الملف الطبي المشترك DMP
Ordoclic: الوصفة الإلكترونية
INSi / ICanopée: التعريف الوطني للمريض (قيد النشر)

السؤال الواجب طرحه: «هل يدير برنامجكم قراءة البطاقة الصحية Carte Vitale، وتقديم صحائف الرعاية الإلكترونية FSE، وتغذية الملف الطبي المشترك DMP؟»

تدمج MedConnect أصلًا Stellair وDESMOS وDMP Connect وOrdoclic. ويجري حاليًا نشر دمج ICanopée.

المعيار 6: الدمج مع البرامج المهنية (Netsoins، Omnidoc)

وفقًا لسياقكم، يجب أن يندمج البرنامج مع أدواتكم القائمة:

في دور رعاية المسنين EHPAD: الدمج مع برنامج إدارة المؤسسة (Netsoins هو الأكثر انتشارًا). وتتيح المزامنة ثنائية الاتجاه لبيانات المرضى تجنّب الإدخال المزدوج.
للخبرة الطبية عن بُعد: الدمج مع Omnidoc (أكثر من 110000 مهني صحي) لطلبات الرأي الاختصاصي.
للفوترة: الدمج مع Orisha (ODS Juxta) لترميز الإجراءات الطبية.

السؤال الواجب طرحه: «مع أيّ برامج مهنية تُدمج منصتكم أصلًا؟ وهل يلزم تطوير خاص؟»

تُدمج منصة MedConnect أصلًا مع Netsoins وOmnidoc وOrisha، ومع أكثر من 20 جهازًا طبيًا متصلًا.

المعيار 7: الدعم التقني ومدة النشر

معيار كثيرًا ما يُهمَل في كرّاسات الشروط. فأفضل برنامج في العالم لا يُجدي نفعًا إذا كان الدعم يستغرق ثلاثة أيام للرد، أو إذا كان النشر يستغرق ستة أشهر.

الأسئلة الواجب طرحها:

«ما متوسط مدة النشر لديكم، من توقيع العقد إلى أول مريض؟»
«هل تقدّمون دعمًا في ساعات العمل؟ أم على مدار 24/7؟»
«هل تدريب الكوادر مُضمَّن؟»

تُنشَر MedConnect في غضون أسبوعين إلى أربعة أسابيع، شاملةً التدريب. ويُقدَّم الدعم عبر Freshdesk بمستويات خدمة مكيَّفة وفقًا للعقد. ويستمر تدريب الممرضات يومًا واحدًا، وهو مؤهَّل ضمن التطوير المهني المستمر DPC.

الإشارات الحمراء في كرّاس الشروط

كن يقظًا إذا كان الناشر:

غير قادر على تقديم شهادة HDS أو ISO 27001 سارية
يستضيف البيانات خارج فرنسا دون الإشارة إلى ذلك بوضوح
لا يدمج البطاقة الصحية Carte Vitale ولا فوترة صحائف الرعاية الإلكترونية FSE
يقترح مدة نشر تتجاوز 3 أشهر لموقع قياسي
يفرض رسومًا على عمليات الدمج المهنية بوصفها تطويرات خاصة
لا يمتلك مراجع قابلة للتحقق في مؤسسات صحية فرنسية

الأسئلة الشائعة

هل شهادة HDS إلزامية لبرنامج التطبيب عن بُعد؟

نعم. كل برنامج يُخزّن أو ينقل بيانات صحية في فرنسا يجب أن يكون مُستضافًا لدى مزوّد معتمد بشهادة HDS. وهذا الالتزام منصوص عليه في قانون الصحة العامة (المادة L.1111-8).

ما الفرق بين HDS وISO 27001؟

تُصادق HDS على مُضيف السحابة (مركز البيانات). أما ISO 27001 فتُصادق على نظام أمن الناشر للبرنامج. وكلتا الشهادتين متكاملتان: تضمن HDS تخزينًا آمنًا، بينما تضمن ISO 27001 أن الناشر نفسه يُدير الأمن بشكل صحيح.

هل البرنامج المُستضاف على AWS متوافق بالضرورة مع HDS؟

لا. AWS معتمدة بشهادة HDS لبعض المناطق (ومنها eu-west-3 باريس)، لكن البرنامج الذي يعمل على AWS يجب أن يحترم هو نفسه متطلبات الأمن. والمسؤولية مشتركة بين المُضيف والناشر.

كيف نتحقق من أن ناشرًا ما معتمد فعلًا بشهادة ISO 27001؟

اطلب الشهادة مع رقم التسجيل، واسم هيئة الاعتماد، وتاريخ انتهاء الصلاحية. ويمكنك التحقق لدى هيئة الاعتماد. حصلت MedConnect على شهادة ISO 27001:2022 في 12 يونيو 2024 عبر British Assessment Bureau.

هل يُغطّى تمويل البرنامج من قبل صندوق التأمين الصحي Assurance Maladie؟

جزئيًا. يُعوّض صندوق التأمين الصحي Assurance Maladie 350 €/سنة عن المعدات الفيديو والبرنامج، و175 €/سنة عن الأجهزة الطبية المتصلة. ويمكن تمويل الباقي عبر التأجير، أو دعم الوكالات الإقليمية للصحة ARS، أو إعانات المجتمعات المحلية.