LAB 7 La sécurité : un enjeu fort pour Hôpital numérique Modération : Delphine Guilgot, Consultante, Care Insight • Philippe Barbot, Responsable informatique, CH de Bagnols sur Cèze • Jérôme Falerne, Responsable SI, ARS Occitanie • Guy Marty, Chargé de mission Hôpital Numérique, ARS Occitanie LE PROGRAMME HÔPITAL NUMÉRIQUE ET LE SÉCURITÉ DU SIH 17/11/2016 Guy Marty Chargé de mission systèmes d’information de santé Grande ré g i o n Nouvelle A RS Plan Quelques mots sur HN Le programme le volet financement La sécurité dans le programme HÔPITAL NUMÉRIQUE Les pré-requis Evolution de la conformité aux prérequis Quelle prise en compte de HN par les établissements de santé ? HN et Sécurité des SIH 17/11/2016 - Montpellier 3 Le programme hôpital numérique Définir une stratégie nationale pour les SIH Ambition Élever le niveau de maturité des SIH pour la production de soins Coordonner tous acteurs SIH autour d’une feuille de route commune Soutenir les projets innovants 4 axes stratégiques Gouvernance Compétences Offre : structurer et stimuler l’offre de solutions Financement : changement de paradigme HN et Sécurité des SIH 17/11/2016 - Montpellier Définition d’un palier de maturité 3 pré-requis 1. Identités, mouvements 2. Fiabilité, disponibilité 3. Confidentialité 5 domaines fonctionnels prioritaires 1. Résultats d’imagerie, de biologie et d’anatomo-pathomogie 2. DPII (dossier patient informatisé et interopérable) et communication extérieur 3. Prescription électronique alimentant le plan de soins 4. Programmation des ressources et agenda du patient 5. Pilotage médico-économique 4 Volet financement en Occitanie quelques chiffres Enveloppe nationale : 400 M€ de 2013 à 2017 En Occitanie : 35,3 M€, 101% ont été engagés (35,7 M€) il n’y a plus de financement disponible en Occitanie Un fort engagement : 135 dossiers traités dont 27 dossiers ouverts 50 dossiers déposés qui n’ont pu être instruits 93 dossiers ont obtenu un financement pour 111 domaines • en moyenne 321 k€ par domaine • 44 dossiers terminés (cibles atteintes) au 15/11/2016 Un financement important pour d’ importants besoins Pour financer les 77 dossiers ouverts ou déposés besoin supplémentaire de 24,5M€ Nous rêvons d’une suite au programme hôpital numérique HN et Sécurité des SIH 17/11/2016 - Montpellier 5 Hôpital Numérique ne se limite pas au financement Utilisation des indicateurs HN (28 sur 34) pour la certification HAS des établissements de santé L’interopérabilité inscrite dans les indicateurs directement : DMP, INS-C indirectement : Résultats d’imagerie, de biologie et d’anatomopathologie (D1) Liens avec les lois santé, de santé publique et LFSS IFAQ : Incitation Financière à l’Amélioration de la qualité 16% de la note Vers l’opposabilité de la PGSSIS HN et Sécurité des SIH 17/11/2016 - Montpellier 6 Introduction aux pré-requis Les pré-requis servent à montrer de la maîtrise du SIH Les pré-requis doivent être vus comme une démarche de management de la qualité, de la sécurité... : Impliquer la direction Connaître les besoins Connaître les procédures Connaître le SIH pour pouvoir l'améliorer Essentiellement organisationnel : 4 indicateurs quantitatifs sur 12 HN et Sécurité des SIH 17/11/2016 - Montpellier 7 La sécurité du SIH et les pré-requis Les pré-requis La sécurité des SI P1 Identité-mouvement • • • • P1.1 Référentiel d’identité P1.2 Cellule d’identito-Vigilance P1.3 Référentiel de mouvement P1.4 Fichier structure Disponibilité : P2 Intégrité : P1, P2 Confidentialité : P3 Auditabilité/Preuve : P3 P2 Fiabilité Disponibilité • P2.1 PRA • P2.2 Disponibilité • P2.3 Procédures dégradées Les pré-requis P3 Confidentialité • • • • • P3.1 PSSI P3.2 Charte informatique P3.3 Information du patient P3.4 Authentification P3.5 Traçabilité HN et Sécurité des SIH 17/11/2016 - Montpellier 8 Evolution de la conformité aux prérequis Juillet 2012 (Midi-Pyrénées 74% de 153) Novembre 2016 (Occitanie 77% de 322) Source oSIS Source enquête autodiagnostic 32% P1 P1 78% 78% P2 25% P2 P3 23% P3 Tous Aucun 4% 83% 68% Tous Aucun 45% 29% ont au plus 2 indicateurs non conformes 82% ont au plus 6 indicateurs non conformes HN et Sécurité des SIH 17/11/2016 - Montpellier 7% 85% ont au plus 2 indicateurs non-conformes 97% ont au plus 6 indicateurs non conformes 9 Merci, De votre attention [email protected] 05 34 30 2559 Quelle prise en compte de HN par les établissements de santé ? Hôpital Numérique : Retour d’Expérience Philippe BARBOT, RSI, CH de BAGNOLS SUR CEZE Hôpital Numérique : Retour d’Expérience Historique du dossier Initialisation DIPISI - 11/06/2014 Dépôt du Dossier – 20/12/2014 Echanges avec l’ARS- du 9/01/2015 au 9/02/2015 Validation du Dossier – 9/02/2015 Demande de financement sur D3,D4 et D5 Audit réalisé par l’ARS Occitanie sur l’atteinte des pre-requis – 26/04/2016 Hôpital Numérique : Retour d’Expérience Après atteinte des pre-requis Au niveau de l’Etablissement Acquisition de la « culture Sécurité des SIH » Mise en place d’un lien « privilégié » avec la Cellule Qualité (Rédaction des plans d’action, V2014…) Formalisation, réécriture et imprégnation des documents institutionnels (PSSI, Charte de la sécurité du SI, Procédures de recrutement…) Hôpital Numérique : Retour d’Expérience Après atteinte des pre-requis Au niveau des utilisateurs (le fonctionnel) Acquisition de la « culture Sécurité des SIH » Procédures de fonctionnement en mode dégradé Prise en compte et acceptation des règles Authentification personnelle (Urgences-GAP) Traçabilité des accès Hôpital Numérique : Retour d’Expérience Après atteinte des pre-requis Au niveau technique Prise en compte de la « culture Sécurité des SIH » Formalisation des documentations PRA Procédures Hôpital Numérique : Retour d’Expérience Après atteinte des pre-requis…pour le patient ? Amélioration dans le cadre de la prise en charge de nos patients Identité du patient Identitovigilance Diminution du risque de desorganisation des soins prodigués au patient PRA, procédures mode dégradé… Respect de la confidentialité des données concernant le patient Authentification des intervenants, tracabilité des accès Hôpital Numérique : Retour d’Expérience Ensuite….. Projet D3 Prescription électronique alimentant le plan de soins Chantier en cours sur la prescription de biologie et de radiologie. Projet D4 Programmation des ressources et agenda du patient Chantier en cours, Agenda deployé sur l’ensemble de l’Etablissement Projet D5 Pilotage médico-économique Projet terminé 36 H CHRONO - OCCITANIE LAB 7 – Sécurité & plan Hôpital Numérique L’OBLIGATION DE SÉCURITÉ : L’exemple des attaques récentes, et le caractère sensible de la santé L’exigence de sécurité vis-à-vis de nos usagers A compter du 1 janvier 2017, l’obligation de déclaration des EIG à la tutelle … L’obligation du respect des prérequis Hôpital Numérique (… les appels à projets) COMMENT FAIRE ? : DEUX REPÈRES Le domaine de la sécurité est perçu comme vaste et complexe, dans lequel il est difficile de prioriser les actions : Se servir des prérequis comme d’une cible Repère 1 : Formaliser ce que nous faisons déjà ou ce qui est attendu de nous Repère 2 : Le GHT comme facilitant : Le rôle de l’établissement support / le rôle du RSSI de l’établissement support Quelques exemples … EXEMPLE – DOMAINE 2 FIABILITÉ & DISPONIBILITÉ NOUS LE FAISONS DÉJÀ ? 2.1 PRA : rôle de l’établissement support / convergences des SI 2.2 Définition et liste des applications critiques : nécessaire pour organiser nos astreintes 2.2 Revue des taux de disponibilités des applications critiques : base de notre relation « clients » : nécessaire pour contractualiser avec nos utilisateurs et nos fournisseurs 2.3 Procédures dégradées : nécessité HAS EXEMPLE – DOMAINE 3 : UN EXEMPLE D’APPROCHE – ROLE DE L’ÉTABLISSEMENT SUPPORT Composant élémentaire type documents Date de revue délais de niveau de difficultés production technique organisationnel gouvernance P3.1 politique de sécurité signé par le Directeur importante moyenne moyenne P3.1 importante moyenne faible faible moyenne faible moyenne faible faible mars 2015 mars 2015 P3.1 P3.1 procédure de gestion des identités matrice d'habilitation d'accès aux données médicale engagement de confidentialité fournisseur Procédure et définition des modalités techniques d'accès au SI par les fournisseurs note de missionnement d'un RSSI mars 2015 à débuter immédiatem ent moyenne moyenne moyenne moyenne faible mars 2015 moyenne ? mars 2015 P3.1 règle de protection de la vie privée des patients faible faible faible mars 2015 P3.1 Analyse des risques importante moyenne faible mars 2015 P3.2 Charte d'utilisation du SI procédure de diffusion de la charte (courrier Directeur) importante moyenne important fin 2015 faible faible fin 2015 P3.1 P3.1 P3.2 faible Note / 20 avancement 7/12/2015 simple complexe ! simple 20/11/2015 06/11/2015 23/09/2015 11,20 9,07 13,87 13,87 2,00 2 4 4 2,00 2 2 2 4,00 2,00 4 2 4 4 4 4 2,00 2,00 2 2 4 4 4 4 5,00 5 5 5 2,00 0 0 0 5,00 2 0 0 2,00 2 4 4 MERCI DE VOTRE ATTENTION … A VOUS ?