1ère journée nationale de l'identito-vigilance Mardi 27 janvier 2009 - Besançon L'Identifiant National de Santé : cible et trajectoire Référence : Trajectoire INS_2009 01 V006 Rédaction : JFP/FLD Version : v 0.0.6 Vérification : JFP Validation : J-Y Robin SOMMAIRE 27 janvier 2009 Pourquoi un Identifiant National de Santé Le projet INS (Identifiant National de Santé) La trajectoire de mise en œuvre de l'INS Vers une solution transitoire : l'INS-C ? GIP-DMP 2 Situation actuelle des domaines d'identité Chaque « grande famille » de système d'information de santé a sa propre règle d'attribution et de construction de l'identifiant du patient : au niveau d'un Logiciel de Gestion de Cabinet ou d'un Logiciel de Dispensation et de Gestion d'Officine (traits d'identité, ...); au niveau d'un Système d'information Hospitalier (IPP, NAP,...); au niveau d'un réseau de santé. Les processus de collaboration entre systèmes d'information de santé nécessitent des accords bilatéraux multiples pour rapprocher les informations de santé d'un même patient. Des identifiants pivots ont été mis en oeuvre dans le cadre d'initiatives locales (projets de l'Appel à projets du GIP-DMP ou autres initiatives). 27 janvier 2009 GIP-DMP 3 Situation actuelle des domaines d'identité (suite) Des systèmes d'identito-vigilance permettent de rapprocher des identités à l'intérieur d'un domaine d'identité unique (et donc sous un périmètre de responsabilité juridique unique – chef d'établissement par exemple) Difficultés Nature uniquement locale ou, au mieux, régionale des identifiants de santé existants Fiabilité des données recueillies Responsabilités lors du rapprochement de deux identités (rapprochements automatiques, manuels) Un identifiant national s'impose. A terme, l'Identifiant National de Santé doit être un pré-requis à l'échange ou au partage de données de santé 27 janvier 2009 GIP-DMP 4 Raisons d'être d'un identifiant national de santé Contexte réglementaire Article L1111-8-1 du CSP (Loi nº 2007-127 du 30/01/2007 et LFSS 2008) « Un identifiant de santé des bénéficiaires de l'assurance maladie pris en charge par un professionnel de santé ou un établissement de santé ou dans le cadre d'un réseau de santé défini à l'article L. 6321-1 est utilisé, dans l'intérêt des personnes concernées et à des fins de coordination et de qualité des soins, pour la conservation, l'hébergement et la transmission des informations de santé. Il est également utilisé pour l'ouverture et la tenue du dossier médical personnel institué par l'article L. 161-36-1 du code de la sécurité sociale et du dossier pharmaceutique institué par l'article L. 161-36-4-2 du même code. Un décret, pris après avis de la Commission nationale de l'informatique et des libertés, fixe le choix de cet identifiant ainsi que ses modalités d'utilisation. » Conclusions de la CNIL sur l'utilisation du NIR(*) comme identifiant de Santé (20 février 2007) - Extrait « ...elle [la CNIL] estime que la méthode la plus à même d’apporter les garanties souhaitables serait la création d’un identifiant de santé spécifique, généré à partir du NIR certifié selon les procédures déjà éprouvées, actuellement utilisées pour les bénéficiaires de l’assurance maladie, mais transcodé selon des techniques reconnues d’anonymisation. Ce numéro, non signifiant, constituerait l’identifiant de santé utilisable dans l’ensemble du système de soins. » 27 janvier 2009 GIP-DMP 5 Raisons d'être d'un identifiant national de santé Objectifs de l'Identifiant National de Santé L'élaboration et l'attribution d'un INS doit obéir à des règles communes pour tous les patients. L'INS doit être utilisé en premier lieu dans l'ensemble du système de santé a des fins de : coordination de soins et de qualité des soins; conservation, hébergement et transmission des informations de santé. L'INS sera aussi utilisé, entre autres, pour l'ouverture et la tenue du Dossier Médical Personnel et du Dossier Pharmaceutique. Un identifiant partagé par l'ensemble du système de santé permet d'optimiser les processus de coordination des soins et l'échange des informations de santé. L'INS peut cohabiter avec les identifiants générés localement par les systèmes d'information de santé. 27 janvier 2009 GIP-DMP 6 SOMMAIRE Pourquoi un Identifiant National de Santé Le projet INS (Identifiant National de Santé) La trajectoire de mise en œuvre de l'INS Vers une solution transitoire : l'INS-C ? 27 janvier 2009 GIP-DMP 7 Le Projet Identifiant National de Santé La maîtrise d'ouvrage déléguée du projet de conception et de mise en oeuvre de l'Identifiant National de Santé à été confiée, par la MISS, au GIP-DMP. Les objectifs sont : créer un Identifiant National de Santé (INS) pour tous les Bénéficiaires de l'Assurance Maladie ; permettre aux professionnels de santé (et aux établissements) de prendre connaissance de l'INS du patient qu'ils prennent en charge ; accompagner les patients, les PS, les ES, les éditeurs et les industriels dans la mise en oeuvre de l'identifiant national de santé 27 janvier 2009 GIP-DMP 8 Caractéristiques attendues de l'INS Les caractéristiques attendues sont les suivantes. En application de l'avis de la CNIL du 20 février 2007 : il est unique : un seul INS pour chaque personne tout au long de sa vie ; il est non signifiant : la connaissance de l'INS ne doit pas permettre de déduire des informations sur la personne ; il est sans doublon ni collision. De plus : il est non prédictible : la connaissance du NIR(*) ou des traits d'identité de la personne ne permettent pas de déduire l'INS; la connaissance de l'INS ne doit pas permettre de remonter au NIR de la personne. Confidentialité de l'INS un identifiant n'est pas porteur en soi de sécurité, c'est la procédure d'authentification qui associe un individu à un identifiant qui concourt à la sécurité. un identifiant n'est ni public, ni secret : il est privé, c'est une information personnelle du patient. (*) NIR : Numéro d'inscription au Répertoire National d'identification des Personnes Physiques– communément appelé numéro de sécurité sociale 27 janvier 2009 GIP-DMP 9 Règles générales de gestion de l'INS L'identifiant national de santé doit être produit pour l'ensemble des BAM (bénéficiaires de l'assurance maladie), que ceux-ci soient majeurs ou mineurs. Attributions de l'INS Attribué lors de l'inscription du bénéficiaire de l'assurance maladie au RNIAM (Répertoire national inter régimes de l'assurance maladie) Pour un nouveau né, en moyenne 5j après sa naissance (inscription d'Etat civil) Pour un immigrant, après son inscription au RNIAM Sont exclus Les personnes non inscrites au RNIAM (foetus, nouveaux-nés avant inscription, étrangers non BAM, ...) Les personnes disposant de NIR temporaires (NIR commençant par un 8) L'INS reste le même pendant toute la vie de la personne, quels que soient les changements de situation de la personne et/ou les changements des traits d'identification (nom, prénom, etc. ) et/ou changement de NIR. (*) NIR certifié : NIR pour lesquels les traits associés ont été validés par un organisme (caisse AMO, mairie, ...) 27 janvier 2009 GIP-DMP 10 SOMMAIRE 27 janvier 2009 Pourquoi un Identifiant National de Santé Le projet INS (Identifiant National de Santé) La stratégie de mise en œuvre de l'INS Vers une solution transitoire : l'INS-C ? GIP-DMP 11 Stratégie de mise en œuvre de l'INS Deux modes de diffusion complémentaires de l'INS Une diffusion via des téléservices appelés par les logiciels de PS et les SI d'établissements.: L'objectif est un accès transparent (pour le PS) sur détection d'une carte SV pour un patient n'ayant pas d'INS renseigné dans le dossier local Les échanges avec les téléservices sont sécurisés par l'usage de certificats du GIP-CPS (certificat de carte CPS, certificats d'établissement) pour l'authentification du demandeur et le chiffrement des échanges L'accès au téléservice n'est fait qu'une fois par PS pour un patient donné : l'INS est conservé dans le dossier de production Puis, à terme, une diffusion de l'INS via la carte Vitale (inscription de l'INS dans la puce voire sur le visuel de la carte Vitale) RNIAM : Répertoire national inter régimes de l'assurance maladie 27 janvier 2009 GIP-DMP 12 Les téléservices de fourniture de l'INS aux PS Accès des LPS (*) («en mode transparent sur ) à un téléservice de fourniture des INS aux PS Recherche d'un INS à partir de traits d'identité lus en carte SV accès via un LPS ou via navigateur : directement à partir d'un LGC(*) ou LDGO(*) dans le cas d'un PS exerçant à titre individuel ; via le SIH dans le cas d'un PS exerçant en Établissement de Santé Échanges sécurisés par l'usage de certificats du GIP-CPS (certificat de carte CPS, certificats d'établissement) pour l'authentification du demandeur et le chiffrement des échanges Lecture automatique des traits d'identité (**) lus dans la carte Vitale ou récupérés du dossier du PS. Via un téléservice en mode dégradé pour une diffusion vers les PS indépendante de l'usage d'un LPS. Accès via un navigateur Échanges sécurisés Saisie des traits d'identité (**) par le PS (*) LPS : Logiciel de Professionnel de Santé – LGC : Logiciel de Gestion de Cabinet – LDGO : Logiciel de Dispensation et de Gestion d'Officine – SIH : Système d'Information Hospitalier (**) Les traits d'identités sont : le nom de famille, les prénoms, le sexe, la date de naissance complète, numéro de série de carte Vitale ou le NIR 27 janvier 2009 GIP-DMP 13 La mise en œuvre de l'INS Les difficultés prévisibles Pour l'INS en carte Vitale 2 : Délai prévisible de l'ordre de plusieurs années, T0 non encore fixé Pour l'accès à l'INS via des téléservices : Délais de prise en compte des téléservices dans les logiciels (libéraux et hospitaliers) par les éditeurs Nécessité d'accompagnement des éditeurs (allant jusqu'à l'homologation de « l'INS compatibilité ») Délais de renouvellement du parc logiciel en environnement libéral ou hospitalier pour prendre en compte les versions intégrant les téléservices INS. Temps de renouvellement du parc de LGC : de l'ordre de 3 ans Temps de rénovation des SIH : de l'ordre de 3 ans Impact de l'utilisation du téléservice sur des processus multiples (et des SI) au sein des ES : admissions, urgences, consultations 27 janvier 2009 GIP-DMP 14 SOMMAIRE Pourquoi un Identifiant National de Santé Le projet INS (Identifiant National de Santé) La trajectoire de mise en œuvre de l'INS Vers une solution transitoire : l'INS-C ? (Identifiant National de Santé - 27 janvier 2009 GIP-DMP Calculé) 15 Trajectoire vers l'INS Trajectoire Trajectoire vers l'INS L'INS, s'il est disponible sous forme de téléservice (d'ici environ 18 mois), ne sera pas disponible au niveau des LGC et des SIH avant 3 à 5 ans (cumul des délais de mise à disposition des téléservices, d'évolution / renouvellement des LPS, de conduite du changement) Un identifiant national est-une nécessité immédiate pour sécuriser les échanges de données existants et favoriser leur déploiement Une éventuelle alternative à l'INS-A (INS généré, de manière centralisée, grace à un processus aléatoire) devrait : Avoir un minimum d'impact sur les LGC et les SIH Ne pas nécessiter la mise en place d'infrastructure centrale Réutiliser les infrastructures Vitale existantes Une solution est la fourniture et la mise en œuvre répartie d'un algorithme permettant de calculer localement un INS-C (INS-Calculé localement dans les LPS ou les SIH) de manière transitoire en attendant la disponibilité de l'INS-A 27 janvier 2009 GIP-DMP 16 Identifiant National de Santé Calculé : INS-C Définition de l'INS-C Définition Un INS-C calculé via un algorithme public et partagé en attendant l'INS sur carte Vitale 2 ou la généralisation de l'accès au téléservice de diffusion de l'INS-A. Deux étapes pour ce calcul Calcul d'un identifiant unitaire sur base : » de traits d'identité à déterminer (traits issus de la carte Vitale et / ou traits d'Etat Civil) » d'un élément discriminant en cours d'étude Normalisation de l'identifiant unitaire qui devient l'INS-C L'algorithme de calcul sera défini avec le concours de la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) 27 janvier 2009 GIP-DMP 17 Identifiant National de Santé Calculé : INS-C Une diffusion généralisée d'un algorithme Avantages de la solution transitoire Une disponibilité immédiate permettant de dessiner une trajectoire rapidement opérationnelle dans des conditions acceptables et acceptées de sécurité Via la diffusion d'une spécification de l'algorithme de génération de l'INS Via l'implémentation de cet algorithme par les différents éditeurs (LGC et SIH) Capacité de développer les infrastructures liées à l'INS – solution cible - et l'inscription en carte Vitale sans être sur le chemin critique des applications de partage de données de santé Pas de dépendance des LGC (ou des SIH) vis à vis d'un SI centralisé (et des télécom). Facilité d'implémentation dans des SI complexes (ES) Une solution de ce type a déjà été mise en œuvre dans certains projets de l'appel à projets (DP par exemple) 27 janvier 2009 GIP-DMP 18 Identifiant National de Santé Calculé : INS-C Caractéristiques Caractéristiques attendues de l'INS-C Un taux de doublon faible. Les doublons sont dus aux changements de traits (nom, prénom, ...) utilisés pour le calcul de l'INS-C Sans collision – (traits d'identité + discriminant) Non signifiant – à évaluer selon l'algorithme de normalisation retenu Non prédictible - à évaluer selon l'algorithme de normalisation retenu Questions ouvertes Génération par concaténation et normalisation par algorithme public ? Quel type de normalisation : Finalité lecture / saisie : 13 à 16 caractères Pas de finalité de lecture ou de saisie permettant d'utiliser SHA 1? ou équivalent ? Préfixe national pour s'insérer dans un schéma européen ? 27 janvier 2009 GIP-DMP 19 FIN GIP-DMP 20