Journée Technique Régionale Décret de Confidentialité

1. Journée Technique Régionale Décret de Confidentialité Jeudi 05 Février 2009 Journée Technique

2. Décret n° 2007-960 du 15 mai 2007 R. 1110-2 CSP Gérer la liste nominative des professionnels habilités Mettre en œuvre l'identification et la vérification de la qualité des personnes Informer les personnes concernées par les informations médicales des dispositions prises Le décret confidentialité et les référentiels confidentialité Journée Technique

3. Décret n° 2007-960 du 15 mai 2007 R. 1110-3 CSP « En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire » Le décret confidentialité et les référentiels confidentialité Journée Technique

4. Décret n° 2007-960 du 15 mai 2007 R. 1110-1 CSP « La conservation sur support informatique des informations médicales … par tout professionnel, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé » « Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixent le niveau de sécurité requis pour ces fonctions. » Le décret confidentialité et les référentiels confidentialité Journée Technique

5. Les nouvelles fonctions du SI • Un annuaire des identités et des habilitations • Une solution de gestion de l’annuaire : administration et « workflow » • Un système de synchronisation des identités et des habilitations • Une (ou plusieurs) solution de sécurisation de l’accès au applications par la carte CPS (dépendant du contexte applicatif) • Un système de traçabilité des accès • Un système de gestion des cycles de vie des cartes CPS Journée Technique

6. L’annuaire • Se compose de 3 référentiels : • Personnes (identité, activité)  imposé par le décret confidentialité • Structure (juridique, géographique)  utile à l’établissement • Ressources médico-techniques  nécessaire au ROR • 2 implémentations possibles : hiérarchique (LDAP, ADAM) ourelationnel (base de données) • Etude AES du GMSIH (2003) a défini un modèle commun • Implémentation LDAP réalisée et utilisée par plusieurs établissements • Implémentation relationnelle en cours de mise en place dans d’autres établissements Journée Technique

7. La gestion des habilitations • Objectif : attribuer des droits sur les applications en fonction : • L’identité de l’utilisateur : le métier • Le ou les rôles affectés à l’utilisateur au sein de l’établissement : l’activité et la fonction localisée • Le contexte d’accès (ex: plages horaires, urgences, gardes, etc.) • Les habilitations sont initiées dès le recrutement (fiche de poste) : implication des directions « métier » (RH, affaires médicales et DIM) • La gestion centralisée concerne l’accès à l’application : profil interne sous le contrôle du responsable de l’application Journée Technique

8. Administration et workflow • Objectif : gérer le cycle du professionnel dans l’établissement • Administration du dossier du professionnel, de son activité, de ses habilitations, etc. • Certains éléments d’administration pourraient être décentralisés : • Au niveau de l’agent : complément informations • Au niveau d’un service : fourniture accès, changement activité, oubli carte CPS • Workflow : matérialise le processus de gestion de l’établissement • Circuits de validation • Initialisation d’actions manuelles (ex: alerte pour création profil interne) Journée Technique

9. La synchronisation • Solution de synchronisation automatique des informations d’identité, de structure ou des habilitations (ex: EAI) • Provisionning amont : récupération des informations pour alimenter l’annuaire : souvent applications de gestion des ressources humaines et de la structure • Provisionning aval : diffusion des informations de l’annuaire vers les applications : • Professionnels • Structure • Comptes applicatifs Journée Technique

10. La sécurisation des accès • Objectif : • Utiliser la carte CPS pour s’authentifier sur le domaine et/ou les applications • Mettre en place les fonctions de Single Sign On pour simplifier les opérations des utilisateurs • Plusieurs solutions en fonction du mode de diffusion des applications dans l’établissement : • Web • Terminal Server • Citrix • … Journée Technique

11. L’étude des cartographies • Etude actuelle des cartographies pour déterminer les architectures et solutions à prévoir dans les spécifications : • Les processus : modèle annuaire, administration et workflow • Les fiches applications : SSO, synchronisation, lecteurs de cartes • Les flux : synchronisation • Les équipements techniques : synchronisation, sécurité (PSSI) • Des points de vigilance déjà identifiés : • Plusieurs types de diffusion dans un même SI : web, citrix, TSE + bureautique • Types de solutions clientes particuliers (ex : client léger en windows CE) • Risque de perte d’information essentielles si fiches incomplètes • Disponibilité et qualité du service pour l’utilisateur • En plus de ceux déjà identifiés : délégation, règle d’absence, accès télémaintenance, … Journée Technique

12. L’étude des solutions industrielles • En parallèle des travaux sur la définition des solutions, nous étudions les solutions des industriels pour valider la concordance avec les besoins identifiés : • échanges avec les éditeurs des solutions d’annuaire et de SSO : Ilex, Avensis, Bull Evidian, Novell, etc. • échanges avec les intégrateurs positionnés sur le secteur : IBM, Orange, etc. • échanges avec les fournisseurs de lecteurs et cartes : Gemalto, etc. • Etc. • étude des retours d’expériences des établissements expérimentateurs du programme national Journée Technique

13. Point de situation sur l’expérimentation nationale • Rappel des étapes : • Expérimentation nationale avec 24 établissements de tous types • Pré-généralisation sur environ 200 établissements coordonnés au niveau régional • Généralisation sur l’ensemble des établissements • Le CHU fait partie des établissements expérimentateurs et Reimp’Hos participe aussi aux groupes de travail (1-2 jours / mois) • La région fera partie de la pré-généralisation (lancement 1T 2009) pour le projet mutualisé et bénéficie de l’accompagnement national (DHOS, GMSIH, GIP-CPS) Journée Technique

14. Point de situation sur l’expérimentation nationale • Des livrables du GMSIH réalisés ou en cours sur les architectures, les processus, les solutions ou les usages • Une évolution des offres et outils du GIP-CPS • Des expériences des établissements qui préfigurent celles à venir en Limousin : • des problématiques techniques rencontrées, • des outils réutilisables pour les études ou la conduite du changement • Une  « maturation » des éditeurs et intégrateurs des solutions d’annuaire et de SSO • Des avancées avec des éditeurs« classiques » présents aussi en Limousin Journée Technique

15. Point de situation sur l’expérimentation nationale • Des points de vigilances confirmés : • Projet transversal, organisationnel avant tout, dans lequel doivent s’impliquer les différents acteurs : services informatiques, ressources humaines, direction • Importance de la communication et de la conduite du changement dans l’établissement durant tout le projet • Un travail nécessaire avec les industriels « classiques » pour la prise en compte du décret : accompagnement en cours du groupe national auprès des fédérations d’industriels pour la prise en compte du décret • La question soulevée de l’utilisation de la carte CPS ou d’une carte de l’établissement embarquant les certificats CPS Journée Technique