DPI et gestion des droits d’accès aux dossiers médicaux

15 mars 2021
  • Partager cet article :
securite-sih

La question de la politique d’habilitation des accès au dossier médical d’un patient est un très vaste sujet. La réponse n’est pas simplement unique : de nombreux facteurs entrent en jeu du fait de la complexité des organisations et de la multitude des métiers impliqués.

L’objectif ici, est de rappeler quelques fondamentaux et décrire certains usages rendus possibles avec des fonctions avancées créées par certains industriels éditeurs, dont EVOLUCARE. Ainsi, le lecteur pourra se poser ou se « re poser » les quelques questions, lui permettant de corriger, d’adapter sa politique de sécurité de son SI, Système d’information en perpétuelle mutation du fait des organisations changeantes mais aussi des évolutions des exigences réglementaires.

Par Nadou Yeo, RSSI Evolucare, Lân Guichot, Consultant et Romain Le Guilcher, DGA et Directeur Communication Evolucare

Lan-romain-Nadou

Ici ne sera pas abordée la gestion des droits d’accès techniques à travers une vision logicielle, mais plutôt une vision de l’habilitation à travers le cycle de vie de la donnée. En effet, les modalités de paramétrage technique des droits d’accès varient fortement selon la ressource concernée d’une part, et selon les outils utilisés pour la gestion de ces droits d’autre part.

GESTION DU DOSSIER PATIENT : QUELQUES ÉVOLUTIONS PLAUSIBLES

Aujourd’hui, le DPI est un vocable d’usage voulant signifier Dossier Patient Informatisé. Hier, il a connu plusieurs vocables comme par exemple le DMC, pour Dossier Médical Commun. Commun par opposition aux multiples dossiers de spécialités médicales qui ont eu leur heure de gloire et de nos jours en déclin du fait d’une inter opérabilité inexistante, voire impossible et pour certains pour leur caractère non industriel, dangereux pour la sécurité des patients.

En déclin ou disparition, les positions fortes de certains, comme bien résumées ici : « «Il est hors de question que je mette MES données de MES patients dans un logiciel que tout le monde pourra consulter». De plus, ces dossiers de spécialités médicales possédaient une gestion des droits d’accès rudimentaires privilégiant une définition unitaire des habilitations du fait du nombre restreint d’utilisateurs. Les DPI ont mis en place une définition de profils d’habilitations plus adaptés aux grands nombres d’utilisateurs ayant des métiers différents et aux plus grandes organisations.

Ce DMC s’est voulu au départ MINIMUN commun (quelques documents de « bureautique médicale », comme par exemple l’anamnèse, le compte-rendu opératoire ou le compte-rendu d’hospitalisation). Puis progressivement il s’est transformé en un Dossier MAXIMUM commun, adressant tous les services d’un établissement et tous les acteurs de la chaine de prise en charge. Cela pose alors la question de comment sécuriser et partager un dossier devenu holistique de par son contenu mais aussi des fonctions de production et de consultation des données gérées. D’où l’importance d’une vision orientée « data ».

Et demain, quel sera la nouvelle dénomination de ce DPI ? Un dossier Patient Longitudinal ? un Dossier Sociétal ? Un portail pour les professionnels, pour les patients ? Une Plateforme de services numériques ? … En effet les pratiques et les usages ont évolués et continuent d’évoluer :

  • Les utilisateurs se transforment en usagers avec une notion de balance entre effort de contribution et bénéfices rendus.
  • Les organisations de soins au départ mono entité deviennent des multi entités, à l’image des GHT, des Groupes de cliniques, etc…
  • Les prises en charge évoluent vers une logique de parcours visant à faire disparaître les ruptures de prise en charge en faveur d’une logique de continuum de soins, transverse à un territoire.
  • La coordination induisant la collaboration des métiers oblige le partage de l’information produite par chacun.
  • Les usagers sont devenus des acteurs et veulent disposer de services, si possible organisés en bouquets.
  • La Data est devenue cruciale depuis l’avènement de l’Intelligence Artificielle, pour un professionnel ou un patient « augmenté ».
  • La quête incessante du « mieux » à défaut du « faire plus avec moins » pour le professionnel mais aussi finalement pour le patient.
  • Un patient qui est devenu un « patient/citoyen » car la logique territoriale induit la prise en compte du sanitaire mais aussi du médico-social, où il s’agit de considérer d’une part le patient et d’autre part le résident ou bien l’usager : bref une personne, un citoyen finalement.
  • Les étapes du parcours de soins ou de vie, donne une place considérable à l’étape relative au secteur MÉDICO-SOCIAL, positionnant EVOLUCARE comme incontournable, quand on connait les conséquences liées au vieillissement des populations. Les prises en charge deviennent en conséquence polypathologiques et nécessitent un partage d’informations souvent crucial à la sécurité des patients entre les différents épisodes de soins.
  • … / … (à vous cher lecteur de trouver le 10ème point et les points suivants …)

Cela étant dit, il est nécessaire avant de construire/adapter une politique de sécurité du système d’information médical, de bien identifier son réel contenu, avec une logique orientée « data », pour un SI « local » ou « étendu » (taille de l’organisation(s) et périmètre interne et/ou externe à l’entité(s) administrée(s))

QUELQUES FONDAMENTAUX

Finalement, il est toujours question de prise en charge quelques soient les acteurs ou les lieux où se déroule ladite prise en charge pour des activités du secteur sanitaire ou bien de celui du médico-social. Nota : Gardons cher lecteur, ce vocable DPI pour considérer toutes les prises en charge, celles des patients mais aussi celles des résidents et des usagers – elles auront pour objectif le meilleur soin, tandis que d’autres auront pour objectif une meilleure bientraitance. La plupart des solutions « DPI » combinent deux entités pour que puisse se dérouler cette prise en charge :

  1. Une entité de LIEU, on retrouvera ainsi la notion d’Unité d’HEBERGEMENT, concept qui est invariant quand on traite une hospitalisation ou un rendez-vous de consultation ou d’examen en présence du patient. Ce concept pourrait évoluer avec l’avènement de la virtualisation des pratiques avec la télémédecine, la téléconsultation ou la télé expertise induisant une notion de PARCOURS qui est finalement un ensemble de lieux physiques et/ou virtuels que l’on pourrait appeler ÉTAPE de prise en charge.
  2. Une entité de RESPONSABILITÉ MÉDICALE, on retrouvera ainsi la notion d’Unité de RATTACHEMENT, concept invariant quand on choisit de paramétrer sa structure dans une stratégie orientée spécialité médicale ou personnalisée. A cela pourrait se rajouter la notion « d’ayant droit » pour considérer « l’équipe médicale » ou de délégation de droit pour considérer les jeunes professionnels en formation impliqués dans les prises en charge. Ce concept quant à lui pourrait demeurer.

Alors les principes de droits d’accès sur historique d’un DPI sont généralement les suivantes : (CF FIGURE 1)

FIGURE 1

  • A l’instant T1 – ÉTAPE 1

La responsabilité médicale 1 se verra ouvrir les accès à l’historique de l’instant T1 à moins l’infini, avec respect des nouvelles règles du RGPD relative à la durée de conservation des dossiers : pour le cas général une profondeur de 20 ans, pour le cas des patients décédés, une profondeur de 10 ans, et pour les personnes mineures, une profondeur de 28 ans.

  • A l’instant T2 – ÉTAPE 2

La responsabilité médicale 2 se verra ouvrir les accès à l’historique de l’instant T2 à moins l’infini, (avec respect des nouvelles règles du RGPD décrites plus haut). L’épisode T1 à moins l’infini lui, est donc accessible pour que sa responsabilité médicale puisse pleinement s’exercer. En revanche la responsabilité médicale 1 ne pourra pas accéder à l’épisode correspondant au temps T1 vers T2. Alors pour gérer l’arrivée tardive de résultats d’examens ou autres productions une notion de CLÔTURE vient verrouiller l’épisode quelques jours après le départ effectif du patient du lieu de la prise en charge.

  • A l’instant T3 – ÉTAPE 3

Le patient est repris en charge par la responsabilité médicale 1. La responsabilité médicale 1 se verra ouvrir les accès à l’historique de l’instant T3 à moins l’infini, (avec respect des nouvelles règles du RGPD décrites plus haut). L’épisode T1+T2 lui est donc accessible pour que sa responsabilité médicale puisse pleinement s’exercer. L’usage général est de ne lister que les patients physiquement présents dans un lieu de prise en charge donné. On parlera de VUE par HÉBERGEMENT, utile aux infirmiers qui ne peuvent voir que les seuls dossiers des patients physiquement présents dans leur unité d’hébergement. En revanche, il faut pouvoir offrir aux médecins et leurs secrétaires une vue dite de RATTACHEMENT permettant d’afficher les patients pris en charge sous une même responsabilité médicale quel que soit le lieu de prise en charge, que ce soit dans le même bâtiment, à un autre étage ou dans un autre pavillon.

Ainsi ces vues, permettent la souplesse face aux débordements fréquents de patients d’un service à l’autre ou pour des établissements organisées en unités multi spécialités (multi-responsabilités médicales). Par ailleurs, une certaine catégorie de professionnels sont appelés à être affectés à des unités d’hébergement en fonction des « suractivités », des plans blancs ou même des pandémies telle que celle que nous connaissons actuellement avec la COVID 19.

Il s’agit de profils dit « VOLANTS », c’est le cas pour certaines secrétaires ou infirmières, mais aussi des responsables de garde, des médecins urgentistes ou DIM : doit-on leur ouvrir des habilitations pour toutes les vues de toute la structure de soins ? Bien évidemment, non, même avec une traçabilité et une journalisation complète des actions, tellement le risque de dérive pourrait être grand. La réponse à cette problématique est possible avec une gestion des vues dépendantes du contexte géographique où le professionnel s’identifie et entre dans le SI médical. Pour cela la solution peut s’appuyer sur un identifiant unique du poste de travail et les vues à associer à ce lieu.

Cela sous-entend une cartographie et un plan de maintenance précis en cas de remplacement des stations. Ainsi les vues changent automatiquement lors des déplacements de ces professionnels avec prise en compte des habilitations attachées aux hébergements et responsabilités médicales décrits plus haut. Pour les postes de travail mobiles, des solutions de maillage de réseaux existent tout autant que la technologie par exemple de types BEACON ouvrant le champ des possibles pour une expérience utilisateurs plus interactive et plus contextuelle. (Chers éditeurs : à vos claviers …)

Les profils d’habilitation sont établis avec des fonctions unitaires sujettes à droit, dont une traçabilité doit être mise en œuvre. Les profils ainsi crées tiennent compte en général des métiers qui eux-mêmes sont définis par des droits, des devoirs et des responsabilités. (Cf Services RH et autres contrats de collaboration)

CONSENTEMENT ÉCLAIRÉ

Voici une disposition qui a été plus une contrainte qu’une évolution sur la sécurité relative aux données médicales des patients et qui a été un véritable frein à tous les projets visant à faire avancer le numérique en santé, dans l’axe des échanges et partages, au service tout simplement des professionnels et de leurs patients. La non complétude du DMP en est une preuve. Cela concerne aussi d’autres projets de dimension plus régionale ou territoriale.

Si bien qu’un dispositif OPT IN et OPT OUT est en en passe d’être généralisé. La Loi OTSS qui prévoit l’ouverture d’un dossier DMP par défaut avec la possibilité pour l’usager de la refuser (OPT-OUT) peut constituer un premier élément juridique nous permettant une approche rationnelle et juridiquement pertinente. Il faut pour cela que le patient ait la possibilité non seulement de s’opposer au partage de ses informations, mais également d’accepter qu’un professionnel donné puisse – dans son intérêt – accéder à l’information pour la partager, si le patient le souhaite et lui donne son accord explicite.

Ceci implique au moins l’export de son identité vers la solution territoriale pour que son médecin puisse acter sa volonté de partage. En l’absence de cette identité, l’expression de son accord devient impossible si l’information ne lui a pas été donnée au sein du système d’information dans lequel a eu lieu la prise en charge, du fait d’une méconnaissance de l’importance de cette information par le médecin hospitalier qui a alimenté son dossier médical (ou pire, d’une négligence…). OPT-IN est la procédure déjà connue nécessitant une consentement éclairé préalable et explicite.

Et si le non partage « d’emblée » de l’information pouvait être considéré comme une « perte de chance pour le patient » ? Quand on sait qu’en général seulement 2% des patients expriment leur volonté de ne pas partager voire de supprimer leurs données. Une solution serait de modifier les procédures de consentement actuelles (OPT-IN) avec description du caractère « étendu » du SI dans lequel la personne est prise en charge.

 

QUELQUES DÉRIVES POSSIBLES

Dans la logique évènementielle décrite plus haut, il suffit par exemple tout simplement à un utilisateur possédant les droits, de créer un événement de type HOSPITALISATION ou RDV pour consulter le dossier d’un patient, alors que ce dernier n’est pas présent. Une fois la consultation ou l’édition réalisée, il suffit de supprimer l’évènement et le tour frauduleux est joué …

La traçabilité et la journalisation sont là pour éviter ces dérives. Ces dérives peuvent survenir et devenir finalement quotidiennes. Leur nombre semble être lié au caractère « fermé » ou « plus ouvert » de la stratégie de gestion des habilitations. La politique fermée « à priori » basée sur une matrice de droits binaires « ouvert » / « Fermé » ne semble pas adaptée aux organisations complexes. En effet le nombre d’exceptions à gérer prend le pas sur la gestion des cas généraux. Ainsi la dérive observée est celle du « bris de glace » utilisé trop systématiquement, certes tracé et documenté, mais dont les journaux ne sont pas ou très peu exploités.

La forte tentation d’utiliser des identifiants génériques augmente les dérives. Ces derniers se prêtent et le résultat est peu enviable, a vrai dire, pas viable du tout. Les indiscrétions ne sont, dans la plupart des cas, pas détectées, ni détectables facilement. Les accès au DPI doivent donc être tracés dans des journaux requêtables périodiquement, en particulier pour des actions jugées sensibles. Selon les recommandations de la CNIL, les utilisateurs du Système d’Information en sont avertis et l’ont validé en signant la charte de la confidentialité, d’utilisation des TIC, et de la Sécurité du Système d’information, à la connexion au SI.

Afin de ne pas bloquer les utilisateurs dans leur pratique et leur permettre d’accéder à toutes les données qui pourraient être utiles dans la prise en charge des patients, une politique d’habilitations « plus ouverte » peut être mise en œuvre, mais avec un vrai contrôle « à postériori ». La porte ouverte aux accès réellement illégitimes doit être assumée.

Même si en termes juridiques le “préjudice est constitué”, ces accès sont faits en toute connaissance de cause de la part de l’utilisateur, qui a été averti et a validé ces accès hors délégation. Si, après interrogation de l’utilisateur, ces accès sont réellement illégitimes (réalisés hors d’un contexte de soin), il convient d’en sanctionner l’auteur, en rendant opposable le fait qu’il en ait été averti. 

FINALEMENT

Les solutions territoriales mise en œuvre respectent-elles toutes ces logiques fondamentales d’accès aux historiques médicaux ? Chers GHT(s) : Remplacer les DPI par un DPI unique est il vraiment la seule solution, quand on connait les énormes investissements financiers et humains nécessaires à leur mise en œuvre et la politique de sécurité d’accès propre à la stratégie de chacun des établissements ? Ces derniers restent encore des entités juridiques à part entière, ce qui pose également la problématique de la convergence des politiques de sécurité des SI ? Et si la convergence tant désirée était considérée avec plutôt, un axe de convergence des données ?

En effet, « les GHT ont été créés par DÉCRET… mais cette convergence induisant la nécessaire coopération se DÉCRÈTE t-elle ? Telle est la question, que nous devons nous poser…
Les équipes expertes du groupe EVOLUCARE sont à votre écoute pour répondre à vos interrogations.

Découvrir Evolucare

Nos partenaires

Nos formations

Evolucare Labs

Expertises et métiers

5
Recherche et Développement
5
Interopérabilité
5
Projets et déploiement
5
Service client & support
5
Qualité et sécurité
5
Fonctions transverses

Recrutement

5
Travailler chez Evolucare
5
Nos offres sur Indeed
5
Nous retrouver sur WTTJ
Accédez à HappyTeams
ESMS Numérique
Ségur de la santé
Sanitaire

SIH - DPI

Medico-social
Médico-Social
criticalcare-w

Soins critiques

medicalimaging-w
Imagerie médicale
hebergement
Hébergement HDS

Evolucare entdecken

Internationale Strategie

Evolucare Labs

Unsere kompetenzen

5
Produktion
5
Interoperabilität
5
Projekte & Implementierung
5
Kundenservice
5
Qualität - Sicherheit
5
Querschnittsabteilungen

Partnernetzwerk

Arbeiten bei Evolucare

Discover Evolucare

International strategy

Evolucare Labs

Our Expertise
5
Production
5
Interoperability
5
Projects & Deployment
5
Customer service
5
Quality & Safety
5
Cross functions
Our partners
Working at Evolucare
Medico-social
Nursing Home
5

Disabled People

5
Elderly People
5
HR & Scheduling
5
Management
Sanitaire

Hospitals / Clinics

criticalcare-w

Critical Care

5

Surgical Process

5
Anesthesia
5
Intensive Care
medicalimaging-w
Medical Imaging
5
RIS-PACS
5
Consoles
5
Sharing
5
Teleradiology
Medico-social
Sozialer Pflegebereich
5

Behinderungen

5
Ältere Leute
5
Personalwesen
5
Verwaltung
Sanitaire

Krankenhause

criticalcare-w

Intensivpflege

5

Chirurgischen Prozesses

5
Anästhesieakte
5
Intensivstationen
medicalimaging-w
Medizinische Bildgebung
5
RIS-PACS
5
Bildschirm-Konsole
5
Verbreitung
5
Teleradiologie