Embed Size (px)
Citation preview
5 février 2009 Journée Technique 1
Journée Technique Régionale
Décret de Confidentialité
Jeudi 05 Février 2009
5 février 2009 Journée Technique 2
Décret n° 2007-960 du 15 mai 2007
R. 1110-2 CSP
Gérer la liste nominative des professionnels habilités Mettre en œuvre l'identification et la vérification de la qualité des
personnes Informer les personnes concernées par les informations
médicales des dispositions prises
Le décret confidentialité et les référentiels confidentialité
5 février 2009 Journée Technique 3
Décret n° 2007-960 du 15 mai 2007
R. 1110-3 CSP
« En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire »
Le décret confidentialité et les référentiels confidentialité
5 février 2009 Journée Technique 4
Décret n° 2007-960 du 15 mai 2007
R. 1110-1 CSP
« La conservation sur support informatique des informations médicales … par tout professionnel, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé »
« Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixent le niveau de sécurité requis pour ces fonctions. »
Le décret confidentialité et les référentiels confidentialité
5 février 2009 Journée Technique 5
Les nouvelles fonctions du SI
Un annuaire des identités et des habilitations Une solution de gestion de l’annuaire : administration et
« workflow » Un système de synchronisation des identités et des habilitations
Une (ou plusieurs) solution de sécurisation de l’accès au applications par la carte CPS (dépendant du contexte applicatif)
Un système de traçabilité des accès Un système de gestion des cycles de vie des cartes CPS
5 février 2009 Journée Technique 6
L’annuaire
Se compose de 3 référentiels : Personnes (identité, activité) imposé par le décret confidentialité Structure (juridique, géographique) utile à l’établissement Ressources médico-techniques nécessaire au ROR
2 implémentations possibles : hiérarchique (LDAP, ADAM) ou relationnel (base de données)
Etude AES du GMSIH (2003) a défini un modèle commun Implémentation LDAP réalisée et utilisée par plusieurs établissements Implémentation relationnelle en cours de mise en place dans d’autres
établissements
5 février 2009 Journée Technique 7
La gestion des habilitations Objectif : attribuer des droits sur les applications en fonction :
L’identité de l’utilisateur : le métier Le ou les rôles affectés à l’utilisateur au sein de l’établissement :
l’activité et la fonction localisée Le contexte d’accès (ex: plages horaires, urgences, gardes, etc.)
Les habilitations sont initiées dès le recrutement (fiche de poste) : implication des directions « métier » (RH, affaires médicales et DIM)
La gestion centralisée concerne l’accès à l’application : profil interne sous le contrôle du responsable de l’application
5 février 2009 Journée Technique 8
Administration et workflow
Objectif : gérer le cycle du professionnel dans l’établissement
Administration du dossier du professionnel, de son activité, de ses habilitations, etc.
Certains éléments d’administration pourraient être décentralisés : Au niveau de l’agent : complément informations Au niveau d’un service : fourniture accès, changement activité, oubli
carte CPS
Workflow : matérialise le processus de gestion de l’établissement Circuits de validation Initialisation d’actions manuelles (ex: alerte pour création profil interne)
5 février 2009 Journée Technique 9
La synchronisation
Solution de synchronisation automatique des informations d’identité, de structure ou des habilitations (ex: EAI)
Provisionning amont : récupération des informations pour alimenter l’annuaire : souvent applications de gestion des ressources humaines et de la structure
Provisionning aval : diffusion des informations de l’annuaire vers les applications :
Professionnels Structure Comptes applicatifs
5 février 2009 Journée Technique 10
La sécurisation des accès
Objectif : Utiliser la carte CPS pour s’authentifier sur le domaine et/ou les
applications Mettre en place les fonctions de Single Sign On pour simplifier les
opérations des utilisateurs
Plusieurs solutions en fonction du mode de diffusion des applications dans l’établissement :
Web Terminal Server Citrix …
5 février 2009 Journée Technique 11
L’étude des cartographies Etude actuelle des cartographies pour déterminer les architectures et
solutions à prévoir dans les spécifications : Les processus : modèle annuaire, administration et workflow Les fiches applications : SSO, synchronisation, lecteurs de cartes Les flux : synchronisation Les équipements techniques : synchronisation, sécurité (PSSI)
Des points de vigilance déjà identifiés : Plusieurs types de diffusion dans un même SI : web, citrix, TSE + bureautique Types de solutions clientes particuliers (ex : client léger en windows CE) Risque de perte d’information essentielles si fiches incomplètes Disponibilité et qualité du service pour l’utilisateur
En plus de ceux déjà identifiés : délégation, règle d’absence, accès télémaintenance, …
5 février 2009 Journée Technique 12
L’étude des solutions industrielles
En parallèle des travaux sur la définition des solutions, nous étudions les solutions des industriels pour valider la concordance avec les besoins identifiés :
échanges avec les éditeurs des solutions d’annuaire et de SSO : Ilex, Avensis, Bull Evidian, Novell, etc.
échanges avec les intégrateurs positionnés sur le secteur : IBM, Orange, etc.
échanges avec les fournisseurs de lecteurs et cartes : Gemalto, etc. Etc.
étude des retours d’expériences des établissements expérimentateurs du programme national
5 février 2009 Journée Technique 13
Point de situation sur l’expérimentation nationale
Rappel des étapes : Expérimentation nationale avec 24 établissements de tous types Pré-généralisation sur environ 200 établissements coordonnés au
niveau régional Généralisation sur l’ensemble des établissements
Le CHU fait partie des établissements expérimentateurs et Reimp’Hos participe aussi aux groupes de travail (1-2 jours / mois)
La région fera partie de la pré-généralisation (lancement 1T 2009) pour le projet mutualisé et bénéficie de l’accompagnement national (DHOS, GMSIH, GIP-CPS)
5 février 2009 Journée Technique 14
Point de situation sur l’expérimentation nationale
Des livrables du GMSIH réalisés ou en cours sur les architectures, les processus, les solutions ou les usages
Une évolution des offres et outils du GIP-CPS
Des expériences des établissements qui préfigurent celles à venir en Limousin :
des problématiques techniques rencontrées, des outils réutilisables pour les études ou la conduite du changement
Une « maturation » des éditeurs et intégrateurs des solutions d’annuaire et de SSO
Des avancées avec des éditeurs « classiques » présents aussi en Limousin
5 février 2009 Journée Technique 15
Point de situation sur l’expérimentation nationale
Des points de vigilances confirmés : Projet transversal, organisationnel avant tout, dans lequel doivent
s’impliquer les différents acteurs : services informatiques, ressources humaines, direction
Importance de la communication et de la conduite du changement dans l’établissement durant tout le projet
Un travail nécessaire avec les industriels « classiques » pour la prise en compte du décret : accompagnement en cours du groupe national auprès des fédérations d’industriels pour la prise en compte du décret
La question soulevée de l’utilisation de la carte CPS ou d’une carte de l’établissement embarquant les certificats CPS
