130 likes | 246 Views
IHE et la sécurité. Karima Bourquard User Cochair IHE-Europe et IHE-France JFR, 21 Septembre 2006. Introduction. De plus en plus d’échanges d’information médicale dans le système de santé : Entre acteurs professionnels et avec le patient Les réseaux de santé
E N D
IHE et la sécurité Karima Bourquard User Cochair IHE-Europe et IHE-France JFR, 21 Septembre 2006
Introduction De plus en plus d’échanges d’information médicale dans le système de santé : Entre acteurs professionnels et avec le patient Les réseaux de santé Développement des projets nationaux : DMP, DCC, urgence,… La protection des données médicales : Confidentialité : faire en sorte que l’information ne soit accessible qu’aux personnes autorisées Intégrité : protéger l’exactitude et l’intégrité de l’information et des méthodes de traitement Et les moyens de preuve et contrôle nécessaires aux utilisateurs pour accorder leur confiance dans l’information fournie Et leur disponibilité : faire en sorte que les utilisateurs autorisés puissent accéder à l’information et aux biens auxquels elle est associée, lorsqu’ils en ont besoin
Dans un contexte réglementaire… Important en France Loi Informatique et liberté (1978) et transposition de la directive européenne (2004) ; Le code de la santé publique art. L1110-4 et L1111 (loi n°2002-303 du 4 mars 2002 relative aux droits des malades et de la qualité du système de santé) ; Le code de l’assurance maladie (loi n°2004-810 du 13 août 2004 relative à l’assurance maladie) ; Le code de la santé publique art. R 1111-13 Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de santé à caractère personnel ; Le code de déontologie médicale ; Le code civil.
Cas pratique : DMP et Patient Le patient va disposer d’un DMP dans lequel les comptes rendus médicaux correspondant à ses visites auprès de professionnels de santé seront disponibles Il pourra ou non mettre à disposition ses données aux professionnels pour sa prise en charge coordonnée des soins
Quelques risques encourus (I) • Consentement : • Des informations médicales alimentent le DMP à l’insu du patient • Confidentialité : • Des adolescents ne veulent pas que certains épisodes de soins ne soient connus par les parents • Évènements psychiatriques • Les informations sont utilisées à des fins commerciales • Intégrité : • Les informations stockées ont été transformées (virus) avant stockage les rendant par exemple illisibles • Les informations sont mal restituées par des traitements défectueux (viewer buggés, mal calibrés, non pertinents;..)
Quelques risques encourus (II) • Disponibilité : • Attaques sur les sites informatiques les rendant indisponibles • Preuves et contrôles : • il n’est pas possible de remonter à l’origine de l’incident
Pour répondre aux besoins Déterminer quels sont les services et mécanismes permettant de répondre aux besoins IHE propose aujourd’hui la prise en compte: du consentement du patient : profil BPPC De la confidentialité, de l’intégrité et traces et contrôles au travers des profils ATNA, DSIG En s’appuyant sur les infrastructures nécessaires concernant l’identification du patient (PIX, PDQ, PAM) et des professionnels de santé (PWP)
Le profil BPPC : Basic Patient Privacy Consent • Ce profil met à disposition des mécanismes pour : • Enregistrer les consentements du patient par rapport aux documents qu’il décide de mettre à disposition ; • Marque les documents publiés dans le DMP avec ce que le patient autorise à faire (en consultation notamment); • Met en relation le choix du patient en terme de consentement avec le besoin exprimé. • Ce service peut être utilisé • Pour des DMP centralisés • Ou pour des échanges de documents
Les caractéristiques Utilise des standards reconnus (CDA r2) Lisible par des êtres humains Pouvant être traités par des machines Les consentements peuvent être historisés Utilisables par d’autres profils IHE : Profils liés aux documents scannés Profils XD* …
Le profil ATNA : Audit Trail Apporte des services pour : Analyser les log et rechercher des incidents liés à la sécurité en dehors de la politique de sécurité,par exemple: rechercher si les données de M. Dupont ont été consultés par une personne non autorisée Rechercher si des informations ont été rajoutées par des sources non autorisées Sécuriser les nœuds d’échange : Par exemple : un cabinet de radiologie qui envoie des CR des patients vers le DMP sera autorisé de le faire si les machines qui dialoguent entre elles se sont reconnus mutuellement grâce à des certificats
ATNA EHR System Médecin libéral ATNA Audit record repository CT Time server ATNA Audit record repository PMS ED Application XDS Document Repository XDS Document Registry PACS Repository Query Document Register Document EHR System PACS Retrieve Document Provide & Register Docs Maintain Time Lab Info. System Cabinet radiologique Maintain Time Maintain Time Etablissement de santé Messages sécurisés
Les autres besoins Des travaux en cours sur L’authentification fortes des utilisateurs entre domaines d’activité La signature électronique La prise en compte des politiques de sécurité L’accès à des informations sensibles pour le patient lui-même (avant la consultation d’annonce)
Les sites web : http://www.IHE-Europe.org http://www.gmsih.fr/IHE http://www.ihe.net Plus d’ Informations