Décret "confidentialité" et mise en conformité: du plomb dans l'aile ?

http://www.carestreamhealth.com/superpacs.html

26/02/2010

Décret "confidentialité" et mise en conformité: du plomb dans l’aile ?

PARIS, 26 février (TICsanté) – Le programme d’accompagnement des établissements de santé à la mise en conformité du décret "confidentialité", supporté par la Direction de l'hospitalisation et de l'organisation des soins (Dhos), en partenariat avec le Groupement pour la modernisation du système d’information hospitalier (Gmsih) et le Groupement d'intérêt public carte professionnel de santé (GIP-CPS), a démarré en octobre 2007 et devait initialement s’achever au premier trimestre 2010. Selon différentes sources proches du dossier, la réalité est autre et un manque de visibilité est déploré...

Ce programme est constitué de trois étapes distinctes: l’expérimentation, la pré-généralisation et la généralisation. Il consiste en "la mise en oeuvre significative dans 24 établissements de santé (CHU, CH cliniques...), répartis dans 15 régions, de l’authentification forte avec la CPS, pour sécuriser l’accès aux informations médicales d’ici le 1er trimestre 2010", explique Marthe Wehrung, l’ancienne directrice du GIP-CPS, aujourd’hui en charge de piloter une mission de concertation et d’exploration avec l’ensemble des acteurs du médico-social, sur la définition d’une stratégie d’articulation des SI entre les champs médico-social et sanitaire.

Ce programme vise à mettre en oeuvre des solutions techniques et organisationnelles adaptables aux différentes typologies des établissements et généralisables. Il s’appuie sur l’expérience et l’expertise de cinq établissements référents qui ont déjà déployé le système CPS. Il était initialement prévu que les étapes de pré-généralisation puis généralisation soient organisées au sein de la région et que leur mise en oeuvre soit progressive, en trois vagues: la première devait démarrer début 2009; la seconde était prévue pour le troisième trimestre 2009 et la dernière pour le premier trimestre 2010. A ce jour, la situation est floue. Un manque de communication est de fait déploré par de nombreux acteurs. Interrogée par TICsanté, l’Agence des systèmes d'information partagés de santé (Asip santé) a indiqué qu’elle ne souhaitait pas s’exprimer sur le sujet.

Jean-Marc Virion, responsable de la DSI au CHU de Nancy a fait part de la démarche initialisée dès 2006 au sein de l'établissement, consistant en la mise en oeuvre d'outils permettant la mise en application du décret confidentialité, à savoir une authentification forte du professionnel de santé pour l’accès au dossier patient avec un certificat électronique sur la carte. Indépendamment du décret confidentialité et du programme d'accompagnement, le CHU a souhaité mettre en place les outils nécessaires à cette traçabilité, tout en prenant en compte la nécessité de supprimer les mots de passe "génériques", précise-t-il.

Le CHU a ainsi lancé un appel d'offres fin 2006 et déployé sur 3-4 services pilotes des cartes d'établissement incluant le certificat CPS, pour 300 professionnels de santé. Dans ce cadre, le programme d'accompagnement a été d’une grande aide, considère-t-il en indiquant qu'il a notamment permis au CHU de "bénéficier de l’expertise et des compétences d’établissements de santé plus avancés en la matière". Différentes réunions ont eu lieu mais à ce jour, il persiste un manque de visibilité, observe-t-il. En outre, "doter l’ensemble des professionnels de santé de l’établissement d’une carte se révèle un réel problème économique", mentionne-t-il.

Frédéric André, responsable DSI au CH de Valenciennes estime pour sa part qu'il existe, face aux problématiques réglementaires, un véritable flou et une lourdeur des projets. Le décret confidentialité est mis en "stand-by" et de nombreuses interrogations portent, entre autres, sur la carte d’établissement et la carte CPS. Le CH a travaillé pendant un an et demi dans le cadre du programme Dhos, Gmsih et GIP-CPS et a décidé vers la mi-2008 de "faire une pause", pour permettre de recentrer les équipes et d’expliquer la nécessité d’embaucher un RSSSI (responsable de la supervision et de la sécurité des SI), détaille-t-il. La carte d’établissement a été choisie par défaut pour l’aspect "multiservice" mais avec une compatibilité avec les certificats CPS. Sa mise en oeuvre sur un site pilote est prévue pour février 2010.

Alors que le programme d'accompagnement devait s'achever au premier trimestre 2010, une réunion est prévue le 18 mars prochain, informe Frédéric André, mais il n'existe aucun élément sur les perspectives de ce programme, déplorent les acteurs. Bon nombre d'entre eux estiment d'ailleurs que l'intégration au sein de l'Asip Santé des missions attachées à la CPS, pourrait avoir contribué à ce manque de transparence. Dans l'ensemble, les établissements ayant participé à ce programme n'ont pas un état d'avancement en conformité avec le calendrier annoncé. La ministre de la santé, Roselyne Bachelot, a par ailleurs indiqué, en novembre dernier, que les établissements de santé disposeraient d'un délai supplémentaire, au-delà de mai 2010, pour doter les professionnels de santé d'une CPS.

Au 20 janvier, le GIP-CPS recensait 650.439 cartes de la famille CPS en circulation dont: 350.901 CPS, 293.748 cartes CPE (carte de professionnel d'établissement). Près de 71.327 cartes ont été distribuées dans les hôpitaux, dont 15.200 cartes CPS./eg/ar

Vos réactions...

26/02/2010

Par avoir mis en place plus de 5.000 postes de travail informatique avec un dispositif d'authentification par carte à puce et disposer de 15 années d'expérience avec les établissement de santé, il n'est pas étonnant de constater à ce jour la difficulté d'installer la carte CPS V3 ou carte d'établissement avec certificat GIP-CPS embarqué en conformité avec le décret de confidentialité indispensable pour l'identification, authentification certaine du personnel soignant sur le dossier patient, DMP, etc.

Pour cause :
- Le programme de mise en oeuvre de solution organisationnelle ne peut s'effectuer que par des gens d'expérience.
- La mise en place du support doit être avant tout un projet d'établissement et non une application informatique.
- Pour permettre une identification certaine le multi-usage de la carte est indispensable.
- Le multi-usage (self, contrôle des accès, priorité ascenseur, vestiaire, etc.) sont les premiers services à mettre en place pour roder les usages.
- La gestion des supports (attribution, habilitation, perte, vol, oubli, brise glace, etc.) 24/24 et 7 jours sur 7 doit être élaborée avec les DRH, DIM, CME
avec une application dédiée servant de référentiel et disposant de passerelles de communication avec les annuaires et les applications DRH.

Je reste à votre disposition pour tout renseignement complémentaire.

Philippe MAHUT
Consultant sénior
Tel Fixe: 09 62 56 96 92
Tel mobile : 06 15 44 31 28
Mail:

phmahut@orange.fr

Signaler un abus au modérateur

19/04/2010

La mise en oeuvre et le déploiement de la sécurisation des accès impliquent, comme vous le savez, de conduire des chantiers organisationnels (mise en place/reprise de la politique de sécurité, organisation de la gestion des professionnels, ...) et des chantiers techniques (annuaire de l'établissement, outil de sécurisation des accès, ...). Ces chantiers techniques répondent et sont conditionnés par la bonne conduite des chantiers organisationnels.

Cette phase inéluctable d'analyse organisationnelle des procédures de sécurité consiste à recueillir le maximum d'informations afin de permettre d'établir par la suite des scenarii les plus proches des attentes et de l'organisation au sein de l'établissement hospitalier:
- Comment sont gérées aujourd'hui les identifications?
- Comment sont créés/mis à jour/désactivés ou supprimés les comptes utilisateurs dans votre système d'information?
- Quels sont vos attendus fonctionnels en termes d'organisation et de gestion cible?

Au vu des résultats de cette étude organisationnelle, nous proposons un certain nombre de scenarii fonctionnels qui décriront l'organisation qui pourrait être mise en place dans le cadre de la mise en oeuvre de votre politique de sécurité d'identification et d'accès.

Ces scénarii doivent décrire pour chaque processus organisationnel:
- Qui a autorité pour créer, valider, mettre à jour, supprimer, invalider une donnée relative à l'identité d'un utilisateur ou un accès?
- Qui doit pouvoir être authentifié dans votre système
d'information?
- Quand l'identité d'une personne doit être créée, mise à jour, supprimée, invalidée?
- A quels moments l'utilisateur doit pouvoir disposer/ne plus disposer d'un accès?
- Jusqu'à quand dit-il être identifiable dans le SIH?
- Quelle est la nature des informations à recueillir ? Quelle est la nature des informations à fournir?
- A quelles fins peuvent et seront utilisées ces données?
- Dans quels contextes les identifications et accès seront/devront être utilisés?

Cette méthodologie éprouvée nous permettra ensemble de:
- Modéliser les processus d'enrôlement: validations, évolutions.../règles de provisioning et de réconciliation des systèmes cibles;
- Définir des "workflows" de gestion du cycle de vie d'une identité et d'habilitation: création/suppression/révocation de comptes, gestion des approbateurs, gestion des règles de délégation;
- Envisager une politique de sécurité de l'établissement.

Apsalys Santé, filiale de la SSII Micropole Univers se propose de vous accompagner dans cette démarche, pierre angulaire de votre politique de sécurisation de votre SIH.

Nicolas Legiemble
Business Developper
Responsable Domaine IAM/Santé
Port: 0676564552

n.legiemble@apsalys.com

Signaler un abus au modérateur

Identification

Inscription

Pour réagir à cette dépêche,
vous devez vous identifier.

Si vous ne vous êtes pas encore
inscrit, vous pouvez le faire
sur la page inscription

L'inscription est gratuite et
vous permet d'accéder à toutes
les fonctionnalités de ce site.

A lire aussi...

Samu/Centre 15 de Midi-Pyrénées: lancement de l'interconnexion informatique des CRRA
(02/04/2010)
Hôpital 2012 : la Lorraine monte en charge, l’intendance suivra-t-elle ?
(16/03/2010)
Association Synergih: vers une évolution de son statut juridique
(02/03/2010)
L’Espace numérique régional de santé en PACA opérationnel
(18/02/2010)
Hôpital 2012: les derniers projets retenus dans les DOM
(10/02/2010)

A L'agenda

Tout l'agenda

Conception et fabrication de dispositifs médicaux personnalisés et/ou fonctionnalisés
(08/09/2010)
Inauguration de la formation "TIC & Santé Montpellier Sud de France"
(14/09/2010)
Seconde journée nationale de lancement de l'accompagnement des projets SI-PDS du plan Hopital 2012
(21/09/2010)
Assises de la sécurité et des systèmes d'information
(06/10/2010 au 09/10/2010)
Athos: 20 ans de communication à l'hôpital
(07/10/2010 au 08/10/2010)