Upload
cesar-renault
View
110
Download
1
Embed Size (px)
Citation preview
IHE et la sécuritéIHE et la sécurité
Karima BourquardKarima Bourquard
User Cochair IHE-Europe et IHE-FranceUser Cochair IHE-Europe et IHE-France
JFR, 21 Septembre 2006JFR, 21 Septembre 2006
IntroductionIntroductionDe plus en plus d’échanges d’information médicale dans le De plus en plus d’échanges d’information médicale dans le système de santé :système de santé : Entre acteurs professionnels et avec le patientEntre acteurs professionnels et avec le patient Les réseaux de santéLes réseaux de santé Développement des projets nationaux : DMP, DCC, urgence,…Développement des projets nationaux : DMP, DCC, urgence,…
La protection des données médicales :La protection des données médicales : Confidentialité : faire en sorte que l’information ne soit accessible qu’aux Confidentialité : faire en sorte que l’information ne soit accessible qu’aux
personnes autoriséespersonnes autorisées Intégrité : Intégrité : protéger l’exactitude et l’intégrité de l’information et des protéger l’exactitude et l’intégrité de l’information et des
méthodes de traitementméthodes de traitement Et les moyens de preuve et contrôle nécessaires aux utilisateurs pour Et les moyens de preuve et contrôle nécessaires aux utilisateurs pour
accorder leur confiance dans l’information fournieaccorder leur confiance dans l’information fournie
Et leur disponibilité : Et leur disponibilité : faire en sorte que les utilisateurs autorisés faire en sorte que les utilisateurs autorisés puissent accéder à l’information et aux biens auxquels elle est associée, puissent accéder à l’information et aux biens auxquels elle est associée, lorsqu’ils en ont besoinlorsqu’ils en ont besoin
Dans un contexte réglementaire…Dans un contexte réglementaire…
Important en FranceImportant en France
Loi Informatique Loi Informatique et liberté (1978) et transposition de la directive et liberté (1978) et transposition de la directive européenne (2004) ;européenne (2004) ;
Le Le code de la santé publique art. L1110-4 et L1111 (loi n°2002-303 code de la santé publique art. L1110-4 et L1111 (loi n°2002-303 du 4 mars 2002 relative aux droits des malades et de la qualité du du 4 mars 2002 relative aux droits des malades et de la qualité du système de santé) ;système de santé) ;
Le Le code de l’assurance maladie (loi n°2004-810 du 13 août 2004 code de l’assurance maladie (loi n°2004-810 du 13 août 2004 relative à l’assurance maladie) ;relative à l’assurance maladie) ;
Le Le code de la santé publique art. R 1111-13 Décret n° 2006-6 du 4 code de la santé publique art. R 1111-13 Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de santé à caractère personnel ;janvier 2006 relatif à l’hébergement de santé à caractère personnel ;
Le code de déontologie médicale ;Le code de déontologie médicale ;
Le code civil.Le code civil.
Cas pratique : DMP et PatientCas pratique : DMP et Patient
Le patient va disposer d’un DMP dans lequel Le patient va disposer d’un DMP dans lequel les comptes rendus médicaux les comptes rendus médicaux correspondant à ses visites auprès de correspondant à ses visites auprès de professionnels de santé seront disponiblesprofessionnels de santé seront disponibles
Il pourra ou non mettre à disposition ses Il pourra ou non mettre à disposition ses données aux professionnels pour sa prise données aux professionnels pour sa prise en charge coordonnée des soinsen charge coordonnée des soins
Quelques risques encourus (I)Quelques risques encourus (I)
Disponibilité :Disponibilité :Attaques sur les sites informatiques les rendant indisponiblesAttaques sur les sites informatiques les rendant indisponibles
Preuves et contrôles : Preuves et contrôles :
il n’est pas possible de remonter à l’origine de l’incidentil n’est pas possible de remonter à l’origine de l’incident
Quelques risques encourus (II)Quelques risques encourus (II)
Pour répondre aux besoinsPour répondre aux besoins
Déterminer quels sont les services et mécanismes Déterminer quels sont les services et mécanismes permettant de répondre aux besoins permettant de répondre aux besoins
IHE propose aujourd’hui la prise en compte:IHE propose aujourd’hui la prise en compte: du consentement du patient : profil du consentement du patient : profil BPPCBPPC De la confidentialité, de l’intégrité et traces et contrôles au De la confidentialité, de l’intégrité et traces et contrôles au
travers des profils travers des profils ATNAATNA, , DSIGDSIG
En s’appuyant sur les infrastructures nécessaires En s’appuyant sur les infrastructures nécessaires concernant l’identification du patient (PIX, PDQ, concernant l’identification du patient (PIX, PDQ, PAM) et des professionnels de santé (PWP)PAM) et des professionnels de santé (PWP)
Le profil BPPC : Basic Patient Privacy ConsentLe profil BPPC : Basic Patient Privacy Consent
Ce profil met à disposition des mécanismes pour :Ce profil met à disposition des mécanismes pour : Enregistrer les consentements du patient par rapport aux Enregistrer les consentements du patient par rapport aux
documents qu’il décide de mettre à disposition ;documents qu’il décide de mettre à disposition ; Marque les documents publiés dans le DMP avec ce que le Marque les documents publiés dans le DMP avec ce que le
patient autorise à faire (en consultation notamment);patient autorise à faire (en consultation notamment); Met en relation le choix du patient en terme de consentement Met en relation le choix du patient en terme de consentement
avec le besoin exprimé.avec le besoin exprimé.
Ce service peut être utilisé Ce service peut être utilisé Pour des DMP centralisésPour des DMP centralisés Ou pour des échanges de documentsOu pour des échanges de documents
Les caractéristiquesLes caractéristiques
Utilise des standards reconnus (CDA r2)Utilise des standards reconnus (CDA r2)
Lisible par des êtres humainsLisible par des êtres humains
Pouvant être traités par des machinesPouvant être traités par des machines
Les consentements peuvent être historisésLes consentements peuvent être historisés
Utilisables par d’autres profils IHE :Utilisables par d’autres profils IHE : Profils liés aux documents scannésProfils liés aux documents scannés Profils XD*Profils XD* ……
Le profil ATNA : Audit Trail Le profil ATNA : Audit Trail
Apporte des services pour :Apporte des services pour : Analyser les log et rechercher des incidents liés à la sécurité Analyser les log et rechercher des incidents liés à la sécurité
en dehors de la politique de sécurité,par exemple: en dehors de la politique de sécurité,par exemple: • rechercher si les données de M. Dupont ont été consultés par rechercher si les données de M. Dupont ont été consultés par
une personne non autoriséeune personne non autorisée• Rechercher si des informations ont été rajoutées par des Rechercher si des informations ont été rajoutées par des
sources non autorisées sources non autorisées
Sécuriser les nœuds d’échange :Sécuriser les nœuds d’échange :• Par exemple : un cabinet de radiologie qui envoie des CR des Par exemple : un cabinet de radiologie qui envoie des CR des
patients vers le DMP sera autorisé de le faire si les machines patients vers le DMP sera autorisé de le faire si les machines qui dialoguent entre elles se sont reconnus mutuellement grâce qui dialoguent entre elles se sont reconnus mutuellement grâce à des certificatsà des certificats
Etablissement de santé
Lab Info. System
PACS
Cabinet radiologique
PACS
ED Application
EHR System
Médecin libéral
EHR System PMS
Retrieve DocumentRetrieve Document
Register DocumentRegister DocumentQuery DocumentQuery Document
XDS Document Registry
ATNA Audit ATNA Audit record repositoryrecord repository CT Time serverCT Time server
MaintainMaintainTimeTime
MaintainMaintainTimeTime
Maintain TimeMaintain TimeProvide & Register Docs
XDS Document Repository
Repository
ATNA Audit ATNA Audit record repositoryrecord repository
ATNAATNA
Messages sécurisés
Les autres besoinsLes autres besoins
Des travaux en cours sur Des travaux en cours sur L’authentification fortes des utilisateurs entre L’authentification fortes des utilisateurs entre
domaines d’activitédomaines d’activité La signature électroniqueLa signature électronique La prise en compte des politiques de sécuritéLa prise en compte des politiques de sécurité L’accès à des informations sensibles pour le L’accès à des informations sensibles pour le
patient lui-même (avant la consultation d’annonce)patient lui-même (avant la consultation d’annonce)
Les sites web :Les sites web :
http://www.IHE-Europe.orghttp://www.IHE-Europe.org
http://www.gmsih.fr/IHEhttp://www.gmsih.fr/IHE
http://www.ihe.nethttp://www.ihe.net
Plus d’ InformationsPlus d’ Informations