L'agence des systèmes d'information partagés de santé est responsable du traitement de données à caractère personnel mentionné à l'article D. 1111-16-3 du code de la santé publique, dans le respect des orientations stratégiques définies par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales.
Ce traitement a pour finalités :
1° Le recueil, l'analyse et, le cas échéant, la qualification et la transmission des signalements des incidents de sécurité mentionnés à l'article L. 1111-8-2 du code de la santé publique aux agences ou aux autorités compétentes de l'Etat ;
2° La mise en œuvre d'un service d'information et d'accompagnement des établissements de santé, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des agences régionales de santé et des autorités compétentes de l'Etat, concernant la prévention et la gestion des incidents de sécurité, ainsi que la sécurité des systèmes d'information.
Pour réaliser ces finalités, l'agence des systèmes d'information partagés de santé met en place un système d'information afin d'enregistrer et de traiter les déclarations reçues conformément à l'article 2 du présent arrêté.
Ces déclarations sont uniquement accessibles au sein de l'agence des systèmes d'information partagés de santé et des services du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales, au personnel individuellement désigné et spécialement habilité par le directeur ou le responsable de chacun de ces organismes.
L'agence des systèmes d'information partagés de santé est responsable de la mise en œuvre des mesures de sécurité destinées à garantir la confidentialité et l'intégrité de la conservation, de la sauvegarde et des transmissions de données à caractère personnel dans le système d'information mentionné au premier alinéa du présent article.
Des moyens d'authentification et de gestion des habilitations sont mis en œuvre pour encadrer l'accès aux déclarations par les personnes habilitées.