140 likes | 281 Views
14/4/2009 - GCS Télésanté Haute-Normandie. Programme d’accompagnement des établissements de santé à la mise en conformité avec le décret de confidentialité. Dominique Lepère Directeur de projets GMSIH (préfiguration ANAP). Ordre du jour.
E N D
14/4/2009 - GCS Télésanté Haute-Normandie Programme d’accompagnement des établissements de santé à la mise en conformité avec le décret de confidentialité Dominique Lepère Directeur de projets GMSIH (préfiguration ANAP)
Ordre du jour • Les enjeux et le décret de confidentialité du 15 mai 2007 • Le programme d’accompagnement DHOS, GMSIH et GIP-CPS
Un enjeu stratégique : Protéger les données de santé • Les échanges dématérialisés de données de santé – autour de la prise en charge du patient - sont de plus en plus nombreux et communicants. • Les informations échangées sont sensibles … elles nécessitent une protection renforcée pour éviter tout risque d’atteinte à la vie privée du patient, par malveillance ou par négligence • Dans l’établissement • de santé : • mise en place d’un dossier patient informatisé • Au niveau national : • DMP • échanges avec la CNAM-TS • échanges avec les Agences sanitaires et Instituts • Dans une région : • SI des réseaux de santé • SI des plateformes régionales (messageries sécurisées), …
Une exigence éthique et légale • Les codes de déontologie professionnelle • Le code pénal • Atteinte au secret professionnel, Respect du droit de la personne • Les lois sur le droit des personnes • Loi «Informatique et libertés» du 6 janvier 1978 modifiée en 2004 • Loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé • Loi du 13 août 2004 relative à l'assurance maladie • Les décrets modifiant le code de la santé publique • Décret "hébergeurs" du 4 janvier 2006 Décret « de confidentialité » n° 2007-960 du 15 mai 2007 • Concerne tout professionnel de santé • En activité libérale, en établissements de santé, dans les réseaux de santé, dans tout organisme participant au système de santé… • Qui accède, conserve sur support informatique des informations médicales ou les transmet par voie électronique
Décret de confidentialité : 3 articles principaux • Article R. 1110-1 : Mise en conformité avec des référentiels qui décrivent les règles de sécurité et de confidentialité : • sécurisation physique des matériels et des locaux & sauvegarde des fichiers, • modalités d'accès aux traitements • contrôle des identifications et habilitations, procédures de traçabilité, historique des connexions, • mesures pour garantir la confidentialité des informations échangées dans un délai d’un an après publication des référentiels • Article R. 1110-2 : Prérogatives du responsable du traitement: • Gestion de la liste nominative des professionnels habilités • Mise en oeuvre des procédés assurant l’identificationet la vérification de la qualité des professionnels en cohérence avec les données d’identification recensées par le GIP-CPS • Article R. 1110-3 : Utilisation de la carte de professionnel de santé (CPS) rendue obligatoire pour identifier et authentifier les PS accédant aux données de santé à caractère personnel dans un délai de 3 ans (mai 2010) après publication du décret pour les établissements de santé
Décret Confidentialité, des opportunités … • Création d’un espace de confiance numérique favorisant les échanges de données médicales • Levier de mise en œuvre d’une politique et d’une organisation pour gérer la sécurité du SIH • Urbanisation du SIH, modernisation des infrastructures • Développement d’offres de produits de sécurité industriels pérennes et adaptés au secteur de la santé
… et des freins à lever ! • Mobilisation difficile de la Direction de l’établissement => projet considéré à tort comme un projet technique et non comme un projet transversal • Faible maturité, souvent, sur la sécurité des systèmes d’information • Même si quelques critères de la certification V2 (HAS) : Extraits : • 23.a. Une politique de sécurité est mise en œuvre pour assurer l’intégrité, la disponibilité, la confidentialité des données et l’auditabilité du système d’information. • 24.d. Les professionnels connaissent leurs responsabilités dans la préservation de la confidentialité des données personnelles • Faible utilisation actuelle du système CPS dans les établissements de santé • Un projet… parmi tant d’autres !
Ordre du jour • Les enjeux et le décret de confidentialité du 15 mai 2007 • Le programme d’accompagnement DHOS, GMSIH et GIP-CPS
Principes clés du Programme • MOA stratégique : DHOS • MOA opérationnelle : GMSIH & GIP-CPS • Apport d’expertise et production de guides/référentiels • Animation des établissements expérimentateurs, puis des régions pour partage d’expériences et contributions aux livrables • Gouvernance : • Comité de Pilotage : 2 à 3 fois/an • Comité de Direction : tous les 2 mois • Comité Opérationnel : toutes les 3 semaines • Leviers de financement : • H2012 • Un programme en 3 étapes : + Un plan de communication Pilotage national Mettre au point un nombre limité de solutions techniques et organisationnelles adaptées aux différentes typologies d’ES (authentification CPS) Etape Expérimentation Environ 20 ES Pilotage régional Aider les ES à se doter de politique de sécurité & déployer les solutions de l’étape 1 Etapes Généralisation Environ 200 ES Généralisation Tous les établissements T1 2009 oct 07
Objectifs Gouvernance Un projet stratégique, multi-acteurs Mise en œuvre & Conduite du changement • Communication, Formation, Assistance Organisation / processus • Gestion des identités • Gestion des droits d'accès et habilitations • Gestion des cartes Architecture fonctionnelle (SIH) • Annuaires /Gestion de l'identité • Authentification/SSO • Traçabilité / Evolution des applications • Outil de gestion de cartes Architecture technique (SIH) • Services d'infrastructures • Poste de travail PS (dont lecteurs) ETAPE Expérimentation Mise en œuvre significative dans 24 établissements de l’authentification forte CPS • Préparation de guides/référentiels • pour les autres établissements (généralisation), • notamment : • Document de cadrage du projet • Architectures de sécurité fonctionnelles et techniques • Gestion des cartes • Gestion des identités • Outillage et procédures • Guides de bonnes pratiques – CCTP type L ’étape d’expérimentation doit aboutir à des préconisations sur un nombre limité de solutions techniques et organisationnelles généralisables, adaptées aux différentes typologies d’établissement
Généralisation : principes Une généralisation organisée au sein de la région : Pilotée par l’ARH : avec un chef de projet régional dédié s’appuyant sur les MOA régionales (GCS, GIE, GIP) pour la conception et le suivi du programme régional Recherche de mutualisation pour : Partager les compétences rares (RSSI) Déployer plus vite les solutions Réduire les coûts d’acquisition Une montée en charge progressive : 1ère vague : ~ 6 à 8 régions démarrant au 1er semestre 2009 Les ES expérimentateurs dans leur région deviennent des ES « référents » Accompagnement national des régions : Appui technique et méthodologique à l’ARH et à la MOA régionale Transfert du savoir-faire (outils et méthodes) aux structures d’appui des établissements (SRIH, Sociétés de conseil, SSII…) ETAPE Prégénéralisation
Gouvernance Référents & Expérimentateurs Référents & Expérimentateurs CHU CH CHS Clinique PSPH CLCC …. ETAPE Prégénéralisation Fédérations Hospitalières Ordres et Industriels INFORMATION COORDINATION & APPUI aux régions DHOS GMSIH GIP-CPS ARH PILOTAGE & ANIMATION du Programme régional de généralisation Chef de projet régional GCS, GIE, GIP, Structures d’appui de l’ARH SRIH, SSII, Stés de conseil Structures d’appui des ES REALISATION du projet
Proposition de feuilles de route Au niveau des régions Concevoir le programme régional, Mettre en place à l’échelon régional une structure de pilotage avec un chef de projet régional, pour animation, suivi et coordination des projets dans les ES, Concevoir le projet de mutualisation avec une première « vague » d’aumoins 20 ES et mettre en place un groupe projet, Accompagner la montée en charge des ES de la région. Au niveau des établissements Rédaction d’une politique de sécurité et du plan d’action associé, Définition ou optimisation des processus de gestion des identitésdes PS, Mise en place d’une structure projet pour : réaliser le plan d’action sécurité préparer la conduite du changement pour le déploiement des solutions techniques et organisationnelles retenues dans l’étape d’expérimentation. ETAPE Prégénéralisation