2011-04-01 ASIP Santé Rencontres Sociétés de conseil

Rencontres avec les Sociétés de Conseil

« Stratégie et conseil dans le secteur de la e-santé »

Vendredi 1er avril 2011

Programme

9h Introduction et actualité de l’ASIP Santé

9h30 Evolution du cadre juridique

10h30 Evolutions du cadre technique et

fonctionnel

I. Introduction et actualité ASIP Santé

Jean-Yves ROBIN,

directeur de l’ASIP Santé

4

• Coordination et qualité des soins

• Infrastructures, référentiels

• Veille et alerte sanitaire, épidémiologie

• Accompagnement, nouvelles pratiques professionnelles

Principaux enjeux pour 2011

24 mars 2011

5

Axes de travail

24 mars 2011

• DMP

• Services

• Annuaires

• CPS/ Services de confiance

• Référentiels

• Organisation interne

• Une année 2011 très séquencée• Mars 2011 : début des usages du DMP via les LPS

• Avril 2011 : V1.0.5 (accès web patient) + SI Pilotage

• Eté 2011 : revue fonctionnelle du DMP

• 2nd semestre 2011 : V1.1.0 du DMP (nouveaux services : notifications, etc.)

• Des outils connexes • Outil d’installation sur le poste de travail des éléments nécessaires à l’accès

au DMP en mode web PS

• Des outils d’accompagnement• Formations / Guides / Communication / démonstrateur LPS

DMPSI DMP

624 mars 2011

Enjeu : réussir le lancement du DMP

DMP

24 mars 2011 72A

Code département

Au 22 mars : 2400 DMP créés

Départements ayant créé au moins 1 DMP

Date de création du 1er DMP

DMPLes 3 axes « classiques » du déploiement

• 3 axes de déploiement

• Axe technique : déploiement des logiciels « DMP compatibles »

• Axe territorial : montée en charge des usages

o Logique de maillage

o Appui sur des relais de déploiement : MOA régionales et MOE via notamment

des appels à projets

• Axe « métier »

o Intégration progressive de services spécialisés (ex : DCC, Biologie)

24 mars 2011 8

Enjeu : réussir le lancement du DMP

Au 18 mars :

154 candidats sont inscrits à la mailing-list DMP Compatibilité

85 éditeurs ont rempli le formulaire sur leurs intentions

46 contrats sont signés

40 éditeurs ont accédé à un environnement de test

8 LPS sont homologués, dont les 3 principaux logiciels de gestion de cabinet libéral

DMPZoom sur l’axe technique : la DMP compatibilité

24 mars 2011 9

Enjeu : 50 éditeurs DMP compatibles fin 2011

83

102

121

139

149153

154

70

80

90

100

110

120

130

140

150

160

Septembre Octobre Novembre Décembre Janvier Février Mars

8 homologués

154 inscrits

Au 18 mars

• Programme Amorçage : pour 4 des 5 régions dotées d’un dossier médical

régional (Alsace, Aquitaine, Franche-Comté, Picardie)• Lancement du service et amorçage de montée en charge

• Gestion de la transition : bascule des flux vers le DMP et fermeture des

Dossiers Médicaux Régionaux

• Inaugurations fixées de mars à mai

• Programme dit Généralisation - Phase 1 : ouvert à toutes les MOA R pour

accompagner la montée en charge à compter du 2nd trimestre

10

DMPZoom sur l’axe territorial – Plan nominal

24 mars 2011

Enjeux : Pilotage des relais régionaux/ Dynamique éditeurs

11

• Définition du plan A’• Plan de déploiement complémentaire à celui mené avec les MOA R

• Permettant d’obtenir des résultats rapides en termes de création et

d’alimentation du DMP

• Actions à mener

• Cibler les acteurs prioritaires (soutiens locaux, éditeurs impliqués, taille, etc.)

o Etablissements de santé (valoriser l’expertise des CHU en particulier)

o Filières, notamment chirurgiens-dentistes et biologistes

• S’appuyer sur les éditeurs déjà prêts et capables de porter pleinement le

message de l’intégration avec le DMP

• Mobiliser une équipe dédiée

DMPZoom sur l’axe territorial – Plan A’

24 mars 2011

Enjeu : sécuriser les objectifs de volume pour le DMP en 2011

• Nouveaux services DMP (axe « métier » pour le déploiement du DMP)

• Service DCC (InCA)

• Dossiers de réseaux (UNRSanté)

• Biologie (SFIL, AP-HP)

• Synthèse médicale

• Bureautique Santé

• DMP de l’Enfant

• Radiologie (ADPIM), Cardiologie (UFCV)

Services DMP

1224 mars 2011

Enjeu 2011 : concevoir les usages du DMP avec les acteurs

Services DMPZoom sur l’outil Demo

Liste des patients dans un LGC, avec ou sans DMP

1324 mars 2011

Services DMPZoom sur l’outil DemoLigne de vie d’un patient

1424 mars 2011

Services DMPZoom sur l’outil Demo (démonstrateur de LGC)Création d’un DMP

1524 mars 2011

• Nouvelles approches d’urbanisation

• Télémédecine

• Hospitalisation à Domicile

• Maisons de santé, Pôles de santé, Centres de santé

• Plans Nationaux : AVC, personnes placées sous main de justice, etc.

• SI toxico-vigilance

• Nouveaux enjeux stratégiques

• Veille et alerte sanitaire : stratégie de collecte et d’exploitation des données

de santé publique

Autres services

1624 mars 2011

Enjeu : concevoir de nouveaux usages des SI de santé

avec les acteurs

•RASS Réseau d’Annuaire Santé – Social

•Objectif : mettre à disposition des acteurs spécialisés (ministères, ARS, ES, opérateurs)

et du grand public les identifiants/ données de référence/ nomenclatures

•Moyens : contractualisation d’un dispositif de gestion structurant, permettant la mise en

place d’autorités d’enregistrement (ordres, formellement garantes de leur qualité

•Calendrier : o Programme RASS V1 lancé/ Promotion auprès des acteurs

o Préparation d’une version opérationnelle à partir d’un démonstrateur (cf. pges suivantes)

o Conventions liant l’ASIP Santé avec les autorités d’enregistrement en cours

o Version de pré-production disponible fin 2011

AnnuairesRASS

1724 mars 2011

Enjeu : garantie régalienne pour les référentiels des acteurs de santé

AnnuairesZoom sur le démonstrateur du RASS (1/4)La recherche d’un établissement

18

19

AnnuairesZoom sur le démonstrateur du RASS (2/4)La recherche d’un établissement : résultat

20

AnnuairesZoom sur le démonstrateur du RASS (3/4)La recherche d’un établissement : détail d’un résultat

21

AnnuairesZoom sur le démonstrateur du RASS (4/4)La recherche d’un professionnel de santé : résultat

•RPPS Répertoire Partagé des Professionnels de Santé

• Généralisation / intégration avec les PS non référencés actuellement Janvier 2010 : Pharmaciens

Août 2010 : Sages-femmes

Mai 2011 : Chirurgiens-dentistes

Militaires (4 premières professions)

Juillet 2011 : Médecins

Fin 2011 : Infirmiers, pédicures-podologues, masseurs-kinésithérapeutes

Fin 2011 - Début 2012 : Autres professions de santé/ autres professions

• Interfaces avec le RASS pour publication

AnnuairesRPPS

2224 mars 2011

Enjeu : garantie régalienne pour les référentiels des acteurs de santé

• Généralisation de la CPS 3 (avec identification RPPS)

• Pharmaciens et sages-femmes à partir d’avril 2011

• Chirurgiens-dentistes à partir de mai 2011

• Médecins à partir de l’été 2011

• Ensemble des PS et des secrétariats médicaux fin 2012

• Développement des usages• Usages du DMP (en authentification directe ou indirecte)

priorisations dans la distribution

• Mise en place de la MSSU - Messagerie Sécurisée de Santé Unifiée

• Services de confiance dans le secteur de la santé

CPS/ Services de confiance

2324 mars 2011

Enjeu 1: généralisation de la CPS 3 et nouveaux usages

Cf planning page suivante

2424 mars 2011

• Réforme du processus d’enregistrement des identités et professions des

professionnels de santé• Nouveaux modes de distribution : simplification de la commande et du suivi

l’enregistrement à l’Ordre devient le fait générateur

• Nouveaux modes de certification des identités et qualités professionnelles du

secteur de la santé

• Nouvelle répartition des rôles entre :• les Ordres (autorités d’enregistrement)

• et l’ASIP Santé (autorité de certification)

CPS/ Services de confiance

2524 mars 2011

Enjeu 2 : réforme du processus d’enregistrement des PS

•Programme INS• Accompagnement de l’INS-C

• Réflexion de fonds sur l’INS et le NIR

•CI-SIS Cadre d’interopérabilité des systèmes d’information de santé• Volets contenus cliniques : mise en place du modéle

• Volets techniques : enrichissement progressif

• Support aux projets : Biologie, DCC, Anapath

•MSSU Messagerie Sécurisée de Santé Unifiée• Stabilisation des choix stratégiques/ Mise en place du modèle

•PGSSI-S Politique Générale de la Sécurité des Systèmes d’Information de Santé• Définition d’une doctrine appliquée au secteur de la santé

•RNR Registre National des Référentiels• Achat des outils, puis intégration et exploitation du RNR

Référentiels

2624 mars 2011

Enjeux : interopérabilité, sécurité, intégration

II. Evolution du cadre juridique

Jeanne BOSSI,

secrétaire générale de l’ASIP Santé

7 avril 2011

Le décret hébergeur : modalités d’application et questions d’actualité

- Bref rappel du cadre juridique et de la procédure

- Questions d’actualité

- Audits et Contrôles

- Evolution de la procédure

7 avril 2011 31

7 avril 2011 32

Bref rappel du cadre juridique et de la procédure

1- Le principe de l’agrément des hébergeurs de données de

santé à caractère personnel est prévu par la loi : article

L1111-8 du code de la santé publique

Les professionnels de santé, les établissements de santé ou la

personne concernée peuvent déposer de telles données chez un

hébergeur agréé.

Les données concernées sont celles recueillies ou produites à

l’occasion des activités de prévention, de diagnostic ou de soins.

L’hébergement exige le consentement exprès de la personne

concernée et les traitements nécessaires à l’hébergement sont réalisés

dans le respect des dispositions de la loi Informatique et Libertés.

Les hébergeurs et les personnes placées sous leur autorité qui ont

accès aux données déposées sont astreintes au secret professionnel

dans les conditions et sous les peines prévues à l’article 226-13 du

code pénal.

Bref rappel du cadre juridique et de la procédure

2- La procédure d’agrément est fixée par le décret du 4

janvier 2006 pris après avis de la CNIL et des ordres

professionnelsLe décret décrit les conditions à remplir pour être agréé hébergeur de

données de santé à caractère personnel.

La prestation d’hébergement est un contrat dont le contenu est fixé

précisément par l’article R1111-13 du code de la santé publique : sont

ainsi évalués la capacité financière du candidat, le niveau de sécurité

proposée et les conditions du respect des principes de la protection

des données personnelles.

L’agrément est délivré pour trois ans par le ministre en charge de la

santé après avis de la CNIL et du comité d’agrément des hébergeurs

(CAH).

Le texte exige la présence chez l’hébergeur d’un médecin, garant du

secret professionnel.

7 avril 2011 33

Bref rappel du cadre juridique et de la procédure 3- Les référentiels de constitution des dossiers de demande

d’agrément ont été réalisés en concertation avec les

opérateurs, les industriels et les maîtrises d’ouvrage

régionales du secteur de la santé.

Le référentiel est composé de six formulaires standards qui couvrent

l’ensemble du recueil d’informations exigé par le décret

(P1,P2,P3,P4,P5 et P6), de deux formulaires d’engagement relatifs à

l’auto-évaluation et aux contrôles (C1, C2) et d’un guide détaillé d’aide

aux candidats.

L’ASIP Santé gère le secrétariat du comité et prépare l’instruction des

dossiers pour les rapporteurs du CAH : mise en place d’un comité

d’instruction interne.

Une foire aux questions a été construite et s’enrichit régulièrement à

partir des interrogations faites à l’agence ou à la suite de positions

particulières exprimées par le CAH ( 20 questions et réponses à ce

jour).

7 avril 2011 34

Questions d’actualité

1- Les chiffres

54 dossiers ont été réceptionnés depuis le 1er juin 2009.

18 dossiers ont été agréés.

8 ont été refusés.

6 rapports d’évaluation ont été reçus à ce jour.

2- L’agrément porte sur une prestation particulière, objet du

contrat soumis au contrôle de la CNIL et du CAH : aucun

organisme n’est agréé en général.

Un organisme peut donc être agréé plusieurs fois pour différentes

types de prestations.

La procédure d’agrément a pour objet d’apprécier la capacité

économique et financière, éthique et juridique, et la politique de

sécurité de l’organisme candidat.

7 avril 2011 35


3- Une mutualisation des moyens d’hébergement est possible

Plusieurs établissements de soins peuvent décider de faire héberger

chez l’un d’entre eux ou chez un organisme tiers agréé les données de

leurs patients. La condition : obtenir l’agrément.

Rappelons que la loi exclut de l’obligation de l’agrément l’établissement

de soins qui héberge les données de ses propres patients.

4- La prestation d’agrément décrit l’équilibre des relations

entre le client et le candidat à l’hébergement. Les

responsabilités des deux parties doivent être clairement

dessinées dans le contrat.

7 avril 2011 36


5- Le champ d’application de la procédure d’agrément

s’applique à toute base de données recueillies ou produites à

l’occasion des activités de prévention, de diagnostic ou de

soins: recherche, secteur assurantiel. Une adaptation des

référentiels est à l’étude.

6- Une auto-évaluation doit être adressée tous les ans par les

organismes agréés en qualité d’hébergeurs.L’auto-évaluation a pour objet d’informer des changements intervenus

au cours de l’année écoulée.

Si l’auto-évaluation remet en cause le périmètre de l’agrément initial

l’organisme devra déposer une nouvelle demande d’agrément.

7 avril 2011 37

Audits et Contrôles

1- Les contrôles de la CNILLa CNIL a le pouvoir de diligenter des contrôles auprès de tout

responsable de traitement : article 44 de la loi Informatique et Libertés.

Les hébergeurs de données de santé - agréés ou pas - font partie du

périmètre de contrôle de la CNIL.

Les sanctions éventuelles sont celles prévues par loi du 6 janvier 1978.

2-Les audits de l’IGASCorps de contrôle naturel de l’administration.

Ces contrôles ne concerneraient que les organismes déjà agréés.

Un courrier a été adressé à ce corps d’inspection pour solliciter la

participation des membres IGAS du CAH.

7 avril 2011 38

Evolution de la procédure

1- Une réflexion est entamée pour améliorer la procédure

Etudier les possibilités de simplifier l’évaluation du volet architecture et

sécurité et rendre plus adapté le volet économique.

Adapter les référentiels à l’hébergement de bases de données dédiées

à la recherche médicale ou à l’assurance.

Améliorer encore l’articulation entre la procédure CNlL et celle suivie

par le CAH.

2- Une réflexion menée avec l’association française des

hébergeurs agréés de données de santé (AFHADS)

Cette association regroupe les hébergeurs agréés (12 aujourd’hui)

Le principe de rencontres régulières avec l’ASIP Santé a été arrêté.

7 avril 2011 39

Le décret du 19 octobre 2010relatif à la télémédecine

1

- Le décret est pris en application de l’article L6316-1 du code de la

santé publique issu de la loi « HPST » du 21 juillet 2009

«La définition des actes de télémédecine ainsi que leurs conditions de mise en

œuvre et de prise en charge financière sont fixées par décret, en tenant compte

des déficiences de l’offre de soins dues à l’insularité et l’enclavement

géographique».

- Le décret du 19 octobre 2010 donne une définition des actes de

télémédecine, précise leurs conditions de mise en œuvre et décrit leur

organisation notamment territoriale.

7 avril 2011 41

1 – La définition des actes de télémédecine :cinq types d’actes médicaux

7 avril 2011 42

• La téléconsultation : permettre à un professionnel médical de donner

une consultation à distance à un patient. La présence d’un professionnel

de santé peut assister le patient au cours de cette consultation.

• La télé expertise : permettre à un professionnel médical de solliciter

l’avis d’un ou de plusieurs professionnels médicaux experts à partir

d’éléments du dossier médical du patient.

• La télésurveillance médicale : permettre à un professionnel médical

d’interpréter à distance les données nécessaires au suivi médical du

patient pour prendre des décisions sur sa prise en charge.

• La téléassistance médicale : permettre à un professionnel médical

d’assister à distance un autre professionnel au cours de la réalisation

d’un acte.

• La réponse médicale apportée dans le cadre de la régulation médicale

(SAMU).

2 – Les conditions de mise en œuvre :quatre règles à respecter

7 avril 2011 43

• Les droits de la personne : comme tout acte médical, l’acte de

télémédecine impose l’information préalable du patient et requiert son

consentement au soin.

- L’échange de données médicales entre professionnels de santé qui

participent à un acte de télémédecine est soumis au régime de l’information

préalable et du droit d’opposition.

- Un consentement particulier est exigé si les données sont hébergées

mais dans ce cas, le recueil du consentement peut être dématérialisé

(R6316-2 et R6316-10).

• L’ identification des acteurs de l’acte :

- Le professionnel de santé doit être authentifié et disposer de l’accès aux

données médicales du patient nécessaires à l’acte.

- Le patient doit être identifié et, lorsque la situation l’impose, bénéficier de la

formation ou de la préparation nécessaire à l’utilisation du dispositif de

télémédecine.

2 – Les conditions de mise en œuvre :quatre règles à respecter (suite)

7 avril 2011 44

• L’acte de télémédecine doit être rapporté dans le dossier médical

Doivent être rapportés dans le dossier médical :

le compte-rendu de la réalisation de l’acte,

les actes et les prescriptions médicamenteuses effectués

l’identité des professionnels de santé,

la date et l’heure de l’acte, le cas échéant les incidents.

2 - Les conditions de mise en œuvre :quatre règles à respecter

7 avril 2011 45

• La prise en charge de l’acte de télémédecine

L’acte de télémédecine est pris en charge par l’assurance maladie obligatoire

dès lors qu’il est inscrit sur la liste des actes pris en charge, visée à l’article L162-1-

7 du code de la sécurité sociale.

Les conditions de cette prise en charge sont définies dans les conventions

nationales conclues entre les professionnels de santé et les pouvoirs publics. Sont ainsi

visés :

Les médecins, chirurgiens-dentistes, sages-femmes, auxiliaires médicaux,

infirmiers, masseurs-kinésithérapeutes, laboratoires d’analyses médicales,

entreprises de transport sanitaire.

Les établissements de santé privés sont également visés ainsi que les centres

de santé.

Les dispositifs médicaux, les tissus et cellules dès lors

qu’ils interviennent dans le cadre d’un acte de télémédecine.

Outre cette prise en charge, l’activité de télémédecine peut bénéficier de

financements provenant du FIQCS et de l’ONDAM et de financements particuliers

s’inscrivant dans le cadre de l’aide sociale et de l’aide aux personnes âgées.

3 - L’organisation de la télémédecine : une dimension nationale relayée et soutenue par les agences régionales de santé

7 avril 2011 46

• L’activité de télémédecine doit être définie dans un programme :

o programme national défini par arrêté ministériel,

o ou inscription dans un contrat pluriannuel d’objectifs et de moyens ou contrat

ayant pour objet d’améliorer la qualité et la coordination des soins,

o ou contrat particulier signé par le directeur général de l’ARS et le

professionnel de santé libéral ou tout organisme ayant une activité de

télémédecine.

Les contrats conclus au plan régional doivent respecter les prescriptions

des projets régionaux de santé relatifs au développement de la télémédecine

afin de prendre en compte et de s’adapter aux particularités régionales

d’organisation des soins.

3 - L’organisation de la télémédecine : une dimension nationale relayée et soutenue par les agences régionales de santé (2)

7 avril 2011 47

Elle doit tenir compte de l’offre de soins dans le territoire considéré

faire appel à des professionnels de santé exerçant régulièrement, dont les

compétences sont reconnues.

Une convention doit déterminer les relations entre les organismes et les

professionnels de santé qui organisent une activité de télémédecine. A cette

occasion, la formation et la compétence technique des professionnels de santé et

des psychologues qui participent à l’acte de télémédecine doivent être vérifiés.

Lors qu’ils recourent à l’hébergement des données, les actes de télémédecine

doivent respecter les référentiels définis par l’ASIP Santé (quatrième alinéa

de l’article L1111-8 du code de la santé publique : utilisation de la carte de

professionnel de santé et des référentiels de sécurité et d’interopérabilité définis

par l’ASIP Santé).

Outre le respect de l’agrément prévu par la loi en cas d’hébergement des

données, le consentement exprès du patient est requis mais il peut être

dématérialisé.

4 - L’entrée en vigueur des dispositions du décret

Un délai de 18 mois est prévu à compter de la date de publication du décret (21 octobre 2010) pour que l’organisation de l’activité de télémédecine puisse se mettre en conformité avec le texte (avril 2012).

7 avril 2011 48

Merci de votre attention !

7 avril 2011Journée Nationale des Industriels du 23 Nov. 2010 49

III. Evolutions du cadre technique et fonctionnel

Jean-François PARGUET,

directeur du pôle « Référentiels,

Architecture, Sécurité » de l’ASIP Santé

Référentiels pour les SI de santé

Point de situation, Prise en compte opérationnelle

1er avril 2011

Référence : Référentiels ASIP – Réu Conseil

Rédacteur : ASIP/PRAS

Version : v 1.0.0

Classification : non sensible / public

Nombre de pages : 26

1er avril 2011Rencontre cabinets de conseil 52

Sommaire

• Dématérialisation des données de santé –

premier bilan

• Point de situation sur les principaux

travaux : RPPS/RASS

CPS3

PGSSI

Stratégie d’urbanisation

Architectures éligibles (à la DMP compatibilité)

Dématérialisation des données de santé- Fondamentaux

La dématérialisation des données de santé n’est pas un choix mais une

obligation impérieuse pour faire face à de nombreuses contraintes (liste non

limitative) :

démographie médicale, mobilité patient

transversalité nécessaire et spécialisation croissante

technicité croissante, nécessité de prendre en compte l’aide au diagnostic

…

L’ASIP Santé a choisi « d’enclencher » la dématérialisation des données de santé

par la coordination des soins.

Le DMP est le projet qui cristallise les premiers efforts de dématérialisation mais

ce n’est qu’une étape.

53Rencontre cabinets de conseil 1er avril 2011

Dématérialisation des données de santé- Rôles

L’ASIP Santé est en charge d’instruire la production des textes nécessaires

pour supporter/favoriser ce changement de paradigme que constitue la

dématérialisation (textes sur la sécurité issus - à terme - de la PGSSI, textes sur le

consentement, ….)

L’ASIP Santé est en charge d’élaborer ou de formaliser les référentiels

indispensables à la mise en œuvre opérationnelle de la dématérialisation des

données de santé :

Référentiels d’interopérabilité : (actuellement centrés sur la coordination des soins)

fondés sur les échanges de documents de santé au format CDA à travers des

transactions IHE et déclinés dans les spécifications de DMP- compatibilité et leur

procédure d’homologation

Référentiels d’identité : Identités des acteurs de santé (RPPS), identité des

patients (INS)

Référentiels de sécurité : agrément des hébergeurs de données de santé,

référentiel d’authentification des patients, référentiel d’authentification des acteurs de

santé, PGSSI (en lieu et place du décret confidentialité, ..)

Et de mettre en place les infrastructures pour supporter ces référentiels :

Système CPx, RASS, RNR, .. 54Rencontre cabinets de conseil 1er avril 2011

Dématérialisation des données de santé- Bilan

Ces différents référentiels et infrastructures nationales – qui ont vocation à

être opposables - sont diversement pris en compte sur le terrain. Qu’il s’agisse

de schémas directeurs régionaux, de dossiers stratégiques ou tout simplement de

dossiers de consultation pour des projets d’importance variable.

Cela traduit probablement des difficultés d’appropriation (et donc de pédagogie

de l’ASIP) par les différents échelons terrain mais aussi un défaut de relai de ces

principes par les acteurs du conseil et du service.

Par exemple l’ensemble des dossiers (SD, CCTP, études, ..) doivent maintenant

prendre en compte que :

l’INS est un prérequis à l’échange et au partage de données de santé [à l’extérieur du

périmètre de la personne morale assurant la prise en charge du patient]

Le RPPS/RASS est le seul référentiel légitime pour identifier, sur une base opposable,

les acteurs de santé. Ses structures d’enregistrement (ordres, ministère) l’alimente en

données opposables

Le cadre d’interopérabilité, approuvé par les représentants des industriels, doit être

considéré comme opposable.


Dématérialisation des données de santé- exemples

Exemples de non prise en compte des référentiels :

Annuaires régionaux de PS n’inscrivant pas la conformité au RASS dans leur

cible

Dossiers médicaux partagés hors des règles du cadre d’interopérabilité et de

l’INS

Données hébergées chez des hébergeurs non agréés

Absence de prise en compte de la sécurité : d’une absence d’analyse de

risque à une absence d’authentification forte (carte CPS, certificats)

…



Sommaire

• Dématérialisation des données de santé –

premier bilan

• Point de situation sur les principaux

travaux :

RPPS/RASS

CPS3

PGSSI


Architectures éligibles (à la DMP compatibilité)

Point sur le RPPS - RASS


Les référentiels d’acteurs de santéLe Répertoire Partagé des Professionnels de Santé (RPPS)

Le Répertoire Partagé des Professionnels de Santé (RPPS) est le référentiel d’identité

des professionnels de santé. Cette base de données est hébergée et gérée par l’ASIP Santé

. Les ordres en sont les autorités d’enregistrement et donc garants des contenus – c’est pour

cela que les données du RPPS sont opposables.

Le décret du 6 février 2009 en a défini les nouvelles procédures d’enregistrement (guichet principal /

simplification administrative et données opposables), tandis que l’arrêté du 6 février 2009 en décrit le

contenu et les droits d’accès.

Il contient pour chaque professionnel de santé préalablement inscrit au tableau de son ordre :

Un identifiant unique et pérenne, non significatif (numéro RPPS)

Un ensemble partagé de données d’intérêt commun, fiables et certifiées, basées sur

une nomenclature commune.

Les certificats produits par l’ASIP pour peupler les cartes CPx sont issus du RPPS.

Etat de peuplement du RPPS

Pharmaciens (janvier 2010) et sages –femmes (Aout 2010)

Chirurgiens dentistes (prévu fin mai 2011)

Médecins (prévu fin juin 2011)

Autres professions de santé (S2 2011)


Les référentiels d’acteurs de santéLe Référentiels des Acteurs Santé Social (RASS)

Au-delà du périmètre du RPPS, centré sur les acteurs de santé personnes

physiques, le RASS recensera et permettra la gestion la publication contrôlée de

l’ensemble des informations sur les personnes physiques et morales du

secteur santé puis du secteur médico-social.

Les objectifs de la mise en place du RASS sont de faciliter / permettre :

L’accomplissement des missions de pilotage, gestion et communication des acteurs

spécialisés (Ministère, ARS, opérateurs, …)

La mise en œuvre de systèmes d’information opérationnels de santé au niveau

régional ou local, tels les ROR (Répertoires Opérationnels de Ressources), sur la

base de données fiables concernant les établissements, entre autres,

L’information du grand public

La maitrise (ou le contrôle) des données qui le concerne, par chaque acteur


Les référentiels d’acteurs de santéLe Référentiels des Acteurs Santé Social (RASS)

Objectif de mise en production fin juin 2011 du démonstrateur RASS (V1)

alimentation automatique à partir de FINESS, RPPS, CPS ;

publication en accès authentifié de ces sources notamment conformément à l’arrêté

RPPS.

Pour l’industrialisation du RASS à partir de S2 2011, lancement de deux procédures

d’appel d’offres pour des prestations

de reprise du RASS V1, mise en production industrielle, élargissement de la base

fonctionnelle, élargissement aux accès grands publics, TMA ;

d’accompagnement de la gestion du changement auprès des acteurs utilisateurs du

RASS (ministère, ARS, ordres, ES, …).

Mise en production

de la première itération du RASS industriel (V2) début 2012

des différentes extensions de service en 2012/13 : élargissements de périmètre,

nouvelles fonctionnalités (décisionnel, cartographie…), montées de niveaux de service

(disponibilité, performance).

61RASS – Présentation 1er avril 2011

Les référentiels d’acteurs de santéDémonstrateur du RASS


Carte CPSPoint de situation sur le déploiement

de la carte CPS3


Le dernier lot de production de cartes CPS 2 ter a eu lieu le 7 février 2011. La

bascule de production en mode CPS 3 s’est réalisée le 9 février 2011.

=> depuis le 10 février 2011, l’ASIP Santé émet exclusivement des CPS 3

Les cartes distribuées en renouvellement des cartes à échéances sont des CPS 3

Courant 2012, tous les professionnels de santé et les secrétariats médicaux seront

dotés de CPS3

10 février 2010

Toutes les cartes émises à partir de cette date sont

des cartes CPS 3

La nouvelle carte CPS 3Le déploiement


Renouvellement du parcJuin 2011

Renouvellement du parc de CPS des

PharmaciensSeptembre 2011

Sages-femmesSeptembre 2011

Chirurgiens-dentistesSeptembre 2011

Médecins

La nouvelle carte CPS3Nouvelle procédure de distribution

La nouvelle CPS3 c’est :

Techniquement : une triple carte : CPS2ter + carte IAS + carte sans contact

mais aussi une carte avec de meilleure performances pour les aspects

crypto

Organisationnellement : une carte issue du RPPS et donc de la

simplification administrative (formalisation des rôles des autorités d’enregistrement

(Ordres, ARS) qui garantissent les informations publiées)

Economiquement : la gratuité de la carte

La nouvelle CPS3 c’est aussi l’occasion de promouvoir et de développer des

usages sans contacts.


Point sur la PGSSIS(Politique générale de sécurité des

systèmes d’information de santé)


Politique Générale de Sécurité des SISObjectifs

Les objectifs sont maintenus et les travaux en cours

• Mettre en place un cadre réglementaire permettant :

aux professionnels de santé de se concentrer sur la prise en charge des patients

et l’exercice de leur discipline ;

la création d’un espace de confiance numérique favorable à l’essor du partage et

des échanges de données médicales personnelles.

• Renouveler et compléter les textes existants:

Partir d’exigences de sécurité pérennes

Contextualiser ces exigences pour les rendre concrètes aux acteurs (exercice

libéral, maison de santé, réseaux, ES de différentes tailles, ….)

Définir des trajectoires graduées dans le temps permettant d’atteindre chacun des

niveaux d’exigence ainsi définis en cible.

• Prévoir des référentiels évolutifs :

Intégrant des dispositifs et des mesures accompagnant les évolutions du secteur de

la santé (évolution du poste de travail à l’environnement de travail par exemple,

cartes filles, certificats embarqués, ASP, SAAS, CLOUD, …)


Politique Générale de Sécurité des SISPoint d’avancement

Les phases de travail à venir :

• La réunion du comité de gouvernance de la PGSSI est prévue en mai 2011. Les

documents définissant la stratégie de la PGSSI seront soumis aux directions du ministère,

aux opérateurs d’Etat et à l’ANSSI

• Les concertations avec les industriels et les PS sont prévues début S2 2011

Le corpus documentaire en cours d’élaboration :

Stratégie et orientations PGSSI

Référentiel des besoins de sécurité des SIS

Référentiels des événements redoutés

Référentiels de scénarios de menaces

Le référentiel d’authentification des professionnels de santé

Le référentiel d’imputabilité

Ces deux derniers font partie des référentiels de mesures de sécurité pour chaque

fonctions de sécurité identifiée supra


L’ASIP Santé au centre de l’urbanisation des SI de santé

L’ASIP Santé est par nature au cœur de l’urbanisation des systèmes

d’information de santé:

L’ASIP est maître d’ouvrage d’éléments mutualisés structurant pour les SI de

santé:

DMP: gestion mutualisée de documents de santé utiles à la coordination des soins

RNR: gestion mutualisée de nomenclatures et formulaires

RASS: gestion mutualisée d’identités

PNSS: gestion mutualisée de régimes d’autorisation

INS

L’ASIP construit avec les industriels le cadre d’interopérabilité des SI de santé

partagés :

Standardisation des flux correspondant à des fonctions métiers partagées entre plusieurs SI

Définition des interfaces avec les systèmes mutualisés

Pour aller plus loin et généraliser la démarche de dématérialisation des

données de santé il va être nécessaire de lancer une démarche

d’urbanisation (urbanisation systémique, alignement métier, ….)70Rencontre cabinets de conseil 1er avril 2011

L’urbanisation des SI de santé, d’une démarche opportuniste à une stratégie globale (2012)

Une vision globale des SI de santé:

Cartographie typologique des SI de santé et identification des éléments

partagés:

Identification des mutualisations possibles et étude d’opportunité

Identification des éléments partagés entre SI non propices à la mutualisation

Des actions spécifiques adaptées au contexte:

Pour les éléments mutualisés à mettre en œuvre :

Définition en amont des interfaces adaptées à chaque élément mutualisé mis en œuvre au

niveau national

Référentiels d’architectures éligibles pour chaque élément mutualisé

Pour les éléments partagés entre SI non mutualisés:

Définition d’un socle d’interopérabilité minimum à spécialiser par chaque responsable

d’éléments lors de la mise en œuvre d’un élément partagé au niveau local

Référentiels d’architectures types pour la mise en œuvre des éléments partagés

Des actions coordonnées avec les acteurs du secteur: Une concertation avec les acteurs du secteur à chaque étape importante de

l’urbanisation71Rencontre cabinets de conseil 1er avril 2011

Architectures éligibles à la DMP-compatibilité


Architecture éligibles à la DMP-compatibilitéLes modes d’accès

• Les exigences de « DMP – compatibilité» issues du cadre

d’interopérabilité ne sont pas intrusives dans les systèmes. Ce

sont des exigences d’interface :Une authentification réciproque avec des certificats issus de l’IGC CPS et

supportant deux familles de clients : Clients navigateurs standard

Clients web-services IHE comprenant les échanges de métadonnées IHE

renseignées avec un INS pour échanger des documents CDA Trois profils de base : création, alimentation, consultation

Deux types d’authentification : directe ou indirecte

Une difficulté : le calcul ou la récupération de l’INS

• Les contraintes liées aux modes d’authentification :Authentification directe : Permet l’accès à tous les profils via les certificats de la carte CPS

Authentification indirecte : Permet uniquement l’usage des profils création et alimentation

Nécessite l’usage de certificats logiciels de personne morale rattachés à une entité

intervenant de façon légitime dans la prise en charge du patient9 mars 2011Réunion amorçage 73

Architecture éligibles à la DMP-compatibilitéLes enjeux

• Les spécifications de DMP-compatibilité ont été illustrées / présentées

sur des architectures traditionnelles : Le logiciel de gestion de cabinet (LGC) en client lourd, installé sur le poste de travail du

professionnel de santé libéral

La passerelle d’échange du SI hospitalier.

• Ces architectures ne sont pas représentatives de l’ensemble des

architectures terrain. L’ASIP va illustrer d’autres architectures pouvant

prétendre à la DMP compatibilité (ASP, SAAS, terminal serveur, CITRIX, ….)

• Ces architectures impliquent souvent la mise en œuvre du concept de

« délégation d’usage de certificat de personne morale à un tiers

hébergeur applicatif ». Ces travaux sont à l’étude.


Architectures typiques

9 mars 2011Réunion amorçage 75

Merci


Rencontres avec les Sociétés de Conseil

Vendredi 1er avril 2011

Merci de votre attention !

2011-04-01 ASIP Santé Rencontres Sociétés de conseil

Health & Medicine

Transcript of 2011-04-01 ASIP Santé Rencontres Sociétés de conseil