Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Apport en connaissance

Ressources associées

Personne ressource

Elise MORICHON

Personne ressource

Gilles HERENGT

Personne ressource

Etienne MAUGET

 1339 vues

 Le catalogue des coopérations étudiées permet, à partir du thème, d’évaluer l’impact sur les processus en fonction de la typologie de coopération choisie (création d’une structure dédiée, partage de l’activité, concentration de l’activité).

Les impacts portent sur l’évaluation des contingences organisationnelles et techniques.

Contingences organisationnelles

Les contingences organisationnelles concernent des organisations préexistantes dans chaque structure et qui pourraient impacter la coopération.

Cela concerne les organisations métiers : les impacts sur les processus peuvent contribuer à faire évoluer les organisations en place (ajout de briques fonctionnelles SI non encore en place, changement de procédures, nouveaux métiers…) pour bâtir un fonctionnement homogène d’une structure à l’autre avec un processus continu sans rupture.

Les processus transversaux, prérequis d’Hôpital numérique, doivent aussi faire l’objet d’une analyse :

  • la gestion des identités et de mouvements des patients ; à ce titre les organisations mises en place dans chaque structure dans le cadre de l’identito-vigilance doivent faire l’objet d’une analyse des risques,
  • la gestion de la confidentialité,
  • la gestion de la fiabilité et de la disponibilité du SI.

Toute thématique de coopération concernant la prise en charge de patients nécessite une étude approfondie des deux premiers items :

  • le niveau de qualité de la gestion par chaque membre des identités ou de la confidentialité permet-il d’envisager sereinement la coopération ?
  • quelles procédures ou organisations au niveau de la coopération sont nécessaires (charte territoriale d’identito-vigilance, gestion de l’identito-vigilance, référent sécurité système d’information de la coopération, traçabilité des évènements indésirables…) ?

Sur ce dernier point, il est nécessaire de définir la gouvernance de la gestion des évènements indésirables liés à (ou amplifiés par) la coopération elle-même. La coopération faisant intervenir des acteurs différents, elle introduit des risques potentiels de ruptures dans le transfert de l’information. La définition d’une organisation prenant en charge la gestion des risques avec les procédures associées doit être établie. Dans ce cadre, l’identification des évènements indésirables, y compris liés au SI et à leur traitement, doit être abordée entre les membres de la coopération pour assurer un traitement adapté et une saisie rapide des éditeurs de logiciels si nécessaire.

La gestion de la fiabilité et de la disponibilité concernant le SI de la coopération porte principalement sur les organisations ou outils d’aide :

  • à la supervision des interfaces,
  • au suivi des performances (temps de réponse, disponibilité),
  • à la détection des problèmes fonctionnels.

Il ne faut pas oublier, dans les contingences organisationnelles, la capacité de chacun des services informatiques des structures en place (certaines structures n’ont pas d’informaticien) et les mutualisations de ressources qui peuvent se dégager dans la mise en oeuvre du SI de la coopération.

Contingences réglementaires

Le SI de la coopération introduisant de facto la communication vers l’extérieur de la structure nécessite de respecter :

  • le cadre d’interopérabilité des systèmes d’information définis par l’ASIP Santé. Ce cadre spécifie les standards et les conditions d’implémentation de ces standards dans les situations de partage ou d’échange d’informations de santé ;
  • la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), référentiel qui est en cours de production. La PGSSI-S exprime des exigences générales de sécurité et des principes de mise en oeuvre ; elle fixe des objectifs globaux, pérennes. Elle est aussi constituée d’un document qui rappelle le cadre et les obligations juridiques, ainsi que de référentiels techniques par thème. La PGSSI-S est destinée à l’ensemble des personnes qui utilisent des données de santé (organismes de recherche, médecins libéraux, établissements de santé, etc.),
  • le décret hébergeur pour les données de santé à caractère personnel lorsque cela est nécessaire.

 

Cela suppose en particulier la mise en place :

  • de procédures communes de gestion de la sécurité avec la mise en place des moyens techniques associés :
    • installation de l’infrastructure (serveurs, réseaux, espace disque) offrant le niveau de performance attendu par les partenaires de la coopération,
    • mise en place de plans de reprise d’activité (PRA) et de continuité d’activité (PCA) entre les membres de la coopération
    • définition et tests de procédures dégradées en cas d’arrêt du SI.
  • de moyens technologiques de gestion de la sécurité :
    • chiffrement des données pour les échanges entre les membres de la coopération,
    • signature électronique pour les documents nécessitant une signature
    • cartes CPS pour l’authentification des professionnels aux SIH ou tout autre moyen adapté.
  • d’homologations spécifiques :
    • ASIP-Santé pour l’homologation des outils s’appuyant sur la carte CPS pour sécuriser les échanges de données,
    • CNDA pour le référencement par le Centre national de dépôt et d’agrément des composants des logiciels pour la lecture des cartes Vitale, le calcul de l’INS-C et Sesam vitale, etc.

Contingences techniques

Les contingences techniques concernent tous les éléments pouvant influer sur les solutions techniques et la capacité des composants en place à pouvoir supporter le SI de la coopération :

  • les logiciels systèmes,
  • les serveurs,
  • les types de postes de travail,
  • les infrastructures de réseaux, etc.

De nombreux moyens techniques permettent de sécuriser les flux des personnes ou des matières (codes-barres, RFID…). L’évaluation de la capacité des systèmes en place à gérer ces éléments techniques doit être réalisée.

Gestion des identités des patients

La gestion des identités des patients se pose d’une façon générale et quel que soit le thème de la coopération.

Cependant, dans le cas où la coopération se fonde sur la prise en charge coordonnée d’un patient, son identification doit être facilitée. La gestion d’un identifiant unique du patient propre à la coopération et connue par chaque SI des membres s’impose. L’utilisation de l’INS-C, hors cas particuliers non gérés aujourd’hui (enfants, étrangers…), est à rechercher car elle assure une identification unique du patient. La mise en oeuvre d’un master patient index (MPI) est possible mais sa difficulté réside dans le nombre faible d’applications en mesure de dialoguer avec un serveur d’identité régional (applications implémentant le profil IHE-PIX).

Dans les autres cas de coopération où il n’y a pas de prise en charge coordonnée, les partenaires, s’ils continuent à gérer des identifiants multiples du patient, devront soit se doter de moyens techniques de rapprochement d’identité permettant d’associer le même patient à des identifiants différents, soit disposer d’outils de recherche d’identité patient suffisamment puissants (recherche sur traits multiples) pour identifier un même patient à un niveau de risque acceptable.

L’utilisation ou non d’un identifiant unique n’évite aucunement la nécessité de se doter de procédures d’identito-vigilance communes entre les parties.

Les chaînes d’identification des patients doivent être documentées afin de conduire à une analyse des risques potentiels et d’aboutir à la définition de procédures d’identito-vigilance ciblées.

Gestion des habilitations

L’harmonisation des politiques de gestion des droits d’accès est à rechercher avec le souci de se positionner au plus haut niveau de sécurité.

D’un point de vue technique, l’utilisation d’annuaires d’établissement, avec alimentation automatique (provisioning) des informations concernant le personnel depuis l’application de GRH et l’association des droits des utilisateurs pour les applications partagées entre les membres, constitue la cible. L’application externe mutualisée doit alors être en capacité d’échanger avec l’annuaire de l’établissement pour propager les droits de l’utilisateur.

La mise en place d’une authentification unique de l’utilisateur (SSO) facilite de son côté les accès à de multiples applications.

La responsabilité de la gestion des accès doit être identifiée : soit elle incombe à la structure dédiée spécifiquement constituée, soit au membre gérant la ou les applications mutualisées.

L’impact en besoins RH varie selon les techniques utilisées et ne doit pas être négligé par les membres.

Les techniques d’authentification doivent aussi s’harmoniser entre les membres sachant que l’utilisation de la carte CPS est la cible.

Comme pour tout déploiement, les procédures dégradées doivent, en cas de panne, être définies et là encore harmonisées entre les membres, et testées avant mise en oeuvre du SI de la coopération.

 

Cette réponse vous paraît-elle utile ?
Date de parution : 13/11/2015

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Système d'information des coopérations territoriales-Mise en œuvre (Apport en connaissance).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Système d'information des coopérations territoriales-Mise en œuvre (Apport en connaissance).

Vous êtes perdu ?