Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ......

24
GISEH 2010 AMDEC+ : Une extension de la méthode AMDEC AMDEC+ : Une extension de la méthode AMDEC comme interface entre la qualité et la sécurité du SIH Buri Michel, Gnaegi Alex, Fumeaux Yann Clermont-Ferrand – 3 septembre 2010

Transcript of Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ......

Page 1: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

GISEH 2010

AMDEC+ : Une extension de la méthode AMDEC AMDEC+ : Une extension de la méthode AMDEC comme interface entre la qualité et la sécurité du SIH

Buri Michel, Gnaegi Alex, Fumeaux Yann

Clermont-Ferrand – 3 septembre 2010

Page 2: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Contexte

• « Qualité » et « Sécurité » : Un objectif commun, mais… - Assurer qu’une activité soit sûresûre malgré la présence de menaces menaces

internes ou externes, maismais elles se différencient au niveau de leur naturenature

Qualité : Menaces internes internes exercées de manière nonnon--intentionnelleintentionnelle et issues issues d’erreurs de jugement d’erreurs de jugement ou d’exécutiond’exécution

Sécurité : Menaces internes internes ou externesexternes exercées de manière intentionnelleintentionnelleet issues d’erreurs nonerreurs non--intentionnelles intentionnelles ou intentionnellesintentionnelles

|

La sécurité-innocuité – ou « Safety » – concerne l’aptitude d’un système à ne pas connaître d’événements critiques événements critiques de nature aléatoire → QualitéQualité

La sécurité-confidentialité – ou « Security » – concerne l’aptitude d’un système à se prémunir de la manipulation volontaire non autorisée de l’informationmanipulation volontaire non autorisée de l’information à des fins malveillante → SécuritéSécurité

� « Safety » et « Security » : Dans le secteur de la santé…- Prise en charge des patients → Sécurité-innocuité (« Safety »)

La sécurité-confidentialité est liée liée à la sécurité-confidentialité du SIH

« Degré Informatisation Hôpitaux » → → « Lien Safety – Security »

[IATAC : Software security assurance, 2007] [A. Desroches et al. : La gestion des risques – Principes et pratiques, Hermes Sciences, 2007]

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 2

Page 3: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Objectifs

• Modélisation de la sûreté de fonctionnement (inform atique)

Disponibilité : Aptitude d’un système à à être en état d’accomplir une mission être en état d’accomplir une mission spécifique à un instant t donné

Spécificité : Nature intangibleintangible de l’information

|RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand

Intégrité : Aptitude d’un système à prévenir prévenir une altération nonune altération non--autoriséeautorisée de son état informationnel

Confidentialité : Aptitude d’un système à à prévenir une divulgation nonprévenir une divulgation non--autoriséeautoriséed’information

Auditabilité : Aptitude d’un système à être à être auditéaudité

→→ Méthode d’analyse ?Méthode d’analyse ?

3

[A. Desroches et al. : La gestion des risques – Principes et pratiques, Hermes Sciences, 2007]

Page 4: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Méthode AMDEC + : Une extension de AMDEC

� Méthode AMDEC-- AMDECAMDEC = AAnalyse des MModes de DDéfaillance, de leurs EEffets et de leur

CCriticitéSynonyme : FMECAFMECA = FFailure MMode, EEffects and CCriticality AAnalysis

But : Optimaliser la fiabilitéfiabilité d’un produit, d’un processus, d’un service, … en prévenant l’apparition de risques

- Définitions

|

- DéfinitionsLa défaillancedéfaillance est définie comme la non-réalisation d’une fonction attendue d’un système

Le mode de défaillancemode de défaillance est défini par la manière avec laquelle une fonction subit une défaillance. Chaque mode de défaillance est qualifié par sa gravité (G), son occurrence (O) et sa détectabilité (D)

L’effeteffet défini comme les conséquences de la défaillance

La criticitécriticité traduit le niveau de danger résultant de la défaillance. Cette criticité est mesurée par l’indice de priorité du risque (IPR = G x O x D)

Méthode d’analyse inductiveinductive (cause → mode de défaillance mode de défaillance → effets) combinant les évaluations qualitativequalitative et quantitativequantitative

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 4

Page 5: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Méthode AMDEC + : Une extension de AMDEC

� Déroulement d’une analyse AMDEC

Act

ivité

Mod

e de

déf

ailla

nce

Cau

ses

du m

ode

de d

éfai

llanc

e

Effe

ts d

u m

ode

de d

éfai

llanc

e

Gra

vité

(G

)

Occ

urre

nce

(O)

Dét

ecta

bilit

é (D

)

Indi

ce d

e pr

iorit

é du

ris

que

IPR

= G

x O

x D

)

Critères de fiabilité

|

Echelles typiques d’évaluation de la fiabilité : 10 niveaux (1 = non-significatif, 10 = vital, certain, non détectable)

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 5

Act

ivité

Mod

e de

déf

ailla

nce

Cau

ses

du m

ode

de d

éfai

llanc

e

Effe

ts d

u m

ode

de d

éfai

llanc

e

Gra

vité

(G

)

Occ

urre

nce

(O)

Dét

ecta

bilit

é (D

)

Indi

ce d

e pr

iorit

é du

ris

que

(IP

R =

G x

O x

D)

… … … … … … … …

… … … … … … … …

… … … … … … … …

1

2

Qualitatif Quantitatif

Page 6: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Méthode AMDEC + : Une extension de AMDEC

� Méthode AMDEC +- La méthode AMDEC+ AMDEC+ est dérivée de la méthode AMDEC, à laquelle elle

ajoute les critères de sécurité de l’informationcritères de sécurité de l’information

AMDEC : Critères de fiabilité

GravitéGravité / OccurrenceOccurrence / Détectabilité Détectabilité (processus)

AMDEC+ : Critères de fiabilité + Critères de sécurité de l’information

Gravité / Occurrence / Détectabilité

|

Gravité / Occurrence / Détectabilité

DisponibilitéDisponibilité / IntégritéIntégrité / ConfidentialitéConfidentialité / Auditabilité Auditabilité (information)

But : Optimaliser la fiabilitéfiabilité et la sécurité sécurité – et donc la sûreté de fonctionnementsûreté de fonctionnement– du SIH en prévenant l’apparition de risques

- Principe d’analyseExplicitation Explicitation des critères de fiabilité en termes de critères de sécurité

Exemple : La gravité d’un mode de défaillance est notée 9/10

Cette gravité est-elle liée à la disponibilité de l’information ? A son intégrité ? A sa non-divulgation ?

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 6

Page 7: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Méthode AMDEC + : Une extension de AMDEC

� Déroulement d’une analyse AMDEC+

Act

ivité

Mod

e de

déf

ailla

nce

Cau

ses

du m

ode

de d

éfai

llanc

e

Effe

ts d

u m

ode

de d

éfai

llanc

e

Gra

vité

(G

)

Occ

urre

nce

(O)

Dét

ecta

bilit

é (D

)

Indi

ce d

e pr

iorit

é du

ris

que

de fi

abili

(IP

R =

G x

O x

D)

Dis

poni

bilit

é (D

)

Inté

grité

(I)

Con

fiden

tialit

é (C

)

Aud

itabi

lité

(A)

Indi

ce d

e pr

iorit

é du

ris

que

de s

écur

ité

(I

PR

= D

xI x

C x

A)

Interface « Qualité – Sécurité »

|

Echelles typiques d’évaluation de la fiabilité : 10 niveaux (1 = non-significatif, 10 = vital, certain, non détectable)

Echelles typiques d’évaluation de la sécurité : 5 niveaux (1 = non-significatif, 5 = critique)

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 7

Qualitatif Quantitatif

Mod

e de

déf

ailla

nce

Cau

ses

du m

ode

Dét

ecta

bilit

é (D

)

Indi

ce d

e pr

iorit

é du

ris

que

(IP

R =

G x

O x

D)

Dis

poni

bilit

é (D

)

Con

fiden

tialit

é (C

)

Indi

ce d

e pr

iorit

é du

ris

que

de s

écur

ité

(I

PR

= D

x

… … … … … … … … … … … … …

… … … … … … … … … … … … …

… … … … … … … … … … … … …

12

Qualité Sécurité

Etape 1 Etape 2

Page 8: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Contexte

- Mandat : Dans le contexte de la médecine de laboratoire……évaluer l’adéquation adéquation de la méthode AMDEC+ aux besoins de l’institution

…évaluer la valeur ajoutée valeur ajoutée de la méthode AMDEC+ pour les parties prenantes

- Objectifs

Qualité Qualité : Evaluation des dysfonctionnements critiques potentiels et

|

Qualité Qualité : Evaluation des dysfonctionnements critiques potentiels et identification des mesures d’amélioration

SécuritéSécurité : Evaluation des risques potentiels liés à l’information et identification des éléments d’alignement « Business – IT »

- Périmètre : Processus de traitement des demandes d’analyse médicale

- Equipe de projet : Equipe multidisciplinaireEquipe multidisciplinaire – Centralisation, Chimie, Hématologie, Bactériologie, Qualité, Informatique et Sécurité SI

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 8

Page 9: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Déroulement

- Principales étapesPrésentation des travaux AMDEC réalisés aux Hôpitaux Universitaires de Genève

Description précise du périmètre et formalisation des processus à analyser

Définition et validation des échelles de notation et critères d’acceptation des risques de fiabilité

|

risques de fiabilité

Identification (metaplan) et évaluation des modes de défaillance

Sélection des risques de fiabilité « non-acceptables »

Identification et évaluation de l’efficacité des mesures de réduction des risques

- PlanificationDurée du projet : 6 mois

Charge de travail :

6 séance de pilotage du projet (1 heure/séance)

11 séances de travail (2 heures/séance)RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 9

Page 10: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Résultats

- Statistiques83 dysfonctionnements ont été identifiés, dont 17 (14%) ont été retenus sur la base des critères d’acceptation des risques

36 mesures de réduction de risque ont été proposées

Les mesures technologiques (2) permettent de réduire la criticité de 11 dysfonctionnements majeurs

|

- Top5 : Les modes de défaillances les plus critiques

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 10

Id Activité Sous-Activité Mode de défaillanceCriticité Fiabilité

CriticitéSécurité

Support IT ?

1 Enregistrer la demande Contrôler les enregistrements Erreur de contrôle 486 1 Non

2 Traitement de l’échantillon DécanterErreur de tube durant la

décantation486 1 Non

3 Enregistrer la demande Identifier les échantillons Er reur d’étiquetage 432 1 Non

4 Traitement de l’échantillon DécanterErreur d’étiquetage des tubes

secondaires432 1 Non

5 Enregistrer la demande Enregistrer la demande Erreur de saisie dans logiciel 360 15 Oui

Page 11: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Résultats

- Top5 : Les modes de défaillances les plus critiques et plan de traitement (extrait)

Id Activité / Sous-Activité Mode de défaillance

CriticitéFiabilité

« avant »

[G/O/D]

CriticitéFiabilité

« après »

[G/O/D]

Mesure de réduction

|

- Prescription connectée : Prescription électronique de l’examen par le requérant au lieu d’une prescription papier

- Chaîne pré-analytique : Automatisation et centralisation de la décantation et de la gestion des tubes secondaires au lieu d’une décantation et d’une gestion des tubes manuelles faite dans chaque laboratoire

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 11

[G/O/D] [G/O/D]

1

Enregistrer la demande

Contrôler les enregistrements

Erreur de contrôle486

[9/6/9]

324

[9/4/9]

Prescription connectée et contrôle simple

135

[9/3/5]

Prescription connectée et contrôle double

5

Enregistrer la demande

Enregistrer la demande

Erreur de saisie dans logiciel

360

[9/5/8]

216

[9/4/6]

Lien avec le logiciel des cabinetsprivés

-Le traitement du mode de

défaillance nécessite la mise en place d’un groupe de travail

Page 12: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Interprétation des résultats

- Les dysfonctionnements de criticité élevée sont relatifs à des erreurs de erreurs de manipulationmanipulation (e.g. erreur de tri, erreur de saisie)

- En général, les dysfonctionnements portés par des moyens moyens informatiques n’obtiennent pas une haute criticité informatiques n’obtiennent pas une haute criticité (stabilité de WinDMLab/LIS, procédure de panne en place)

|

- Les mesures de réduction de risques basées sur des moyens moyens informatiques réduisent de manière significative la criticité informatiques réduisent de manière significative la criticité de certains dysfonctionnements, mais elles introduisent de nouveaux risques nouveaux risques technologiquestechnologiques

- Les mesures de réduction n’ont pas permis de réduire la gravité des réduire la gravité des dysfonctionnementsdysfonctionnements

Ce constat est relativement souvent fait dans les secteurs d’activités où la sécurité de personnes sécurité de personnes est engagée (e.g. santé, aviation civile, industrie nucléaire)

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 12

Page 13: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Principales difficultés rencontrées

- Le périmètre initial était trop largetrop large, nécessitant une nouvelle définition

- L’évaluation de la gravité évaluation de la gravité des modes de défaillance a été relativement difficile

La participation d’un médecin clinicien/requérant au groupe de travail estrequise

|

requise

- Le manque d’expérience et la complexitécomplexité du sujet initial ont mené à modifier certaines notations d’une séance à l’autre

- L’évaluation quantitative des dysfonctionnements n’est pas facile, car sujette aux biais cognitifsbiais cognitifs

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 13

Page 14: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Validation de la méthode

� Projet-pilote « AMDEC+ » – Retour sur expériences - Le projet pilote a suscité un intérêt certain intérêt certain auprès de l’équipe de projet

- La méthode permet de passer au dessus des réactions émotionnelles réactions émotionnelles face à un dysfonctionnement en portant l’attention sur les erreurs, et non sur les fautes

- L’analyseanalyse commune commune et la critique positive critique positive ont permis de mettre en mettre en évidence des dysfonctionnements évidence des dysfonctionnements et d’identifier des pistes d’amélioration pistes d’amélioration

|

évidence des dysfonctionnements évidence des dysfonctionnements et d’identifier des pistes d’amélioration pistes d’amélioration du processus analysé

� Projet-pilote « AMDEC+ » – Valeurs ajoutées- Promotion d’une approche métier globaleapproche métier globale

- Création d’un levier important d’alignement «alignement « Business Business –– ITIT »»

-- Mise en commun Mise en commun et partage des connaissances partage des connaissances entre parties prenantes

- Promotion d’une culture d’entreprise consciente des risquesculture d’entreprise consciente des risques

- Promotion d’une démarche consolidée entre la qualité et la sécurité démarche consolidée entre la qualité et la sécurité basée sur les risques risques → sûreté de fonctionnement du SIHsûreté de fonctionnement du SIH

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 14

Page 15: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Conclusions

� Première itération « AMDEC+ » Expérience positive et probante

� Prochaines étapes « AMDEC+ » Validations dans le domaine clinique (base : activités à risques, CIRS)

Prescription et distribution des médicaments

Préparation et administration des chimiothérapies

Principales valeurs ajoutées

|

Principales valeurs ajoutées

1. Démarche intégrée « Qualité » (processus) et « Sécurité » (information) basée sur le risque

→ Amélioration continue de la sûreté de fonctionnement du SIH→ Amélioration continue de la sûreté de fonctionnement du SIH

2. Culture d’entreprise consciente des risques

→ Problèmes de fiabilité et de sécurité thématisés ouvertement→ Problèmes de fiabilité et de sécurité thématisés ouvertement

3. Partage de connaissances entre parties prenantes

→ Organisation apprenante→ Organisation apprenante

CIRS : Critical Incident Reporting System

RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 15

Page 16: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Merci de votre attention !

|RSV – 3 septembre 2010GISHE 2010 – Clermont-Ferrand 16

Page 17: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

AMDEC+ : Une extension de la méthode AMDEC comme interface entre la qualité et la sécurité du système d’information hospitalier Buri Michela, Gnaegi Alexa, Fumeaux Yanna a Service d’informatique médicale et administrative, Institut Central des Hôpitaux Valaisans, Réseau Santé Valais, Av. Grand-Champsec 86, 1950 Sion, Suisse. Tél +41 27 603 49 80. [email protected]. Résumé Une stratégie d’innovation basée sur un engagement massif des nouvelles technologies de l’information et de la communication dans le système d’information hospitalier des établissements de santé trouve aujourd’hui une justification médicale et économique. Un des corollaires de cette stratégie est la création d’une dépendance critique des activités principales des hôpitaux vis-à-vis de ces technologies. Cette dépendance soulève une problématique centrale de sûreté de fonctionnement du système d’information hospitalier, avec une incidence directe sur l’exposition à de nouveaux risques iatrogènes, technologiques et organisationnels. Pour gérer ces nouveaux risques, une nouvelle méthode d’analyse AMDEC+ a été définie dans le but d’identifier les points d’interface – ou de collaboration – entre les domaines de la qualité et de la sécurité du système d’information. Si un projet-pilote, mené dans le domaine de la médecine du laboratoire, a permis d’effectuer une première validation probante de la méthode AMDEC+, celle-ci devra encore être affinée et validée à plus large échelle, et notamment dans le domaine clinique. Mots clés : Interopérabilité et sécurité des systèmes d’information, sûreté de fonctionnement, évaluation des risques, AMDEC

1. Introduction Une stratégie d’innovation basée sur un engagement massif des nouvelles technologies de l’information et de la communication (NTIC ci-après) dans le système d’information hospitalier (SIH ci-après) des établissements de santé trouve aujourd’hui une justification médicale et économique. La justification médicale est liée au besoin fondamental de l’activité médicale de disposer d’une quantité importante d’information d’une part et, d’autre part, au fait que les connaissances dans ce domaine augmentent exponentiellement, élargissant notre compréhension scientifique des maladies, des traitements et des plans de soins. Pour répondre à ces besoins croissants de partage de l’information et de la connaissance, (Fieschi, 2003) suggère que le but de l’utilisation des NTIC dans le secteur de la santé est de favoriser la coordination des professionnels de la santé et leur coopération étroite pour améliorer la prise en charge des malades. La justification économique est, quant à elle, liée à la spécificité du secteur de la santé d’être très intensif en main d’œuvre. Selon (Fieschi, 2003), la mise en place du partage de données de santé médicales devrait permettre aux hôpitaux de réaliser des économies que certains experts évaluent entre 20 et 30% des coûts totaux. Les corollaires de cet engagement important des NTIC dans le secteur de la santé sont de plusieurs ordres. D’une part, il y a la création d’une dépendance critique des activités principales des hôpitaux vis-à-vis de ces technologies. Cette dépendance soulève une problématique centrale de sûreté de fonctionnement du SIH, avec une incidence directe sur l’exposition à de nouveaux risques iatrogènes, technologiques, logistiques et organisationnels liés à son exploitation. D’autre part, avec les évolutions à venir (e.g. interconnexion des acteurs de la santé, introduction de la carte du professionnel de la santé et de la carte d’assuré), les organes de régulation et les patients vont probablement encore accentuer la pression sur les établissements de santé afin de garantir la protection des données personnelles. Dans ce contexte, la maîtrise des risques liés à une introduction massive des NTIC dans la chaîne de valeur des hôpitaux devient un enjeu critique dans la gestion de la sûreté de fonctionnement du SIH. Une gestion appropriée des points d’interface entre la qualité et la sécurité du SIH – et ainsi la collaboration

Page 18: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

entres les professionnels de la qualité et de la sécurité de l’information – prend ainsi, dans une perspective de sécurité du patient, une importance croissante. Notre travail a porté sur l’étude de la sûreté de fonctionnement d’un SIH basée sur l’analyse de deux de ses paramètres fondamentaux : la fiabilité du système et la sécurité de l’information. Pour réaliser cette étude, une nouvelle méthode d’analyse AMDEC+ a été définie. L’objectif poursuivi dans ce travail exploratoire est d’identifier les points d’interface entre deux notions étroitement liées dans le domaine des systèmes d’information de santé, à savoir la sécurité-innocuité (« Safety ») et la sécurité-confidentialité (« Security ») (Kluge et al., 2001). Plus largement, il s’agit d’identifier les points d’interface – ou points de collaboration – entre les domaines de la qualité et de la sécurité sur lesquels les efforts de réduction de risques devraient être engagés dans une perspective d’amélioration continue de la sûreté de fonctionnement du SIH.

2. Objectifs Le Réseau Santé Valais (RSV), qui regroupe l’ensemble des hôpitaux publics du Canton du Valais (Suisse), a entrepris, dès 2004, un important projet d’informatisation des activités hospitalières, avec le remplacement des dossiers médicaux et administratifs par des dossiers informatisés. Actuellement, ce sont quelque 2500 médecins et soignants et 1000 collaborateurs administratifs qui réalisent leur mission quotidienne à l’aide de systèmes de traitement de transactions cliniques et administratives. Un certain nombre d’autres projets d’informatisation ont été menés, tant au niveau opérationnel (e.g. informatisation de la saisie des prestations, imagerie médicale) qu’au niveau stratégique (e.g. tableau de bord prospectif), accroissant encore le niveau de dépendance des métiers de l’hôpital par rapport au SIH. Parallèlement à cette informatisation massive des activités de l’hôpital, le RSV a initié, dès 2008, une démarche intégrée d’analyse des risques d’entreprise. La première étape de cette démarche a abouti, fin 2009, avec la publication d’une série de rapports de risques, et notamment celui relatif aux risques d’entreprise liés au SIH. C’est dans cette étape initiale de la démarche d’analyse des risques que le projet-pilote AMDEC+ a été mené, avec le mandat d’évaluer la valeur ajoutée de cette nouvelle méthode pour les parties prenantes et son adéquation aux besoins de l’organisation. Les buts poursuivis avec la réalisation de ce projet-pilote ont été déclinés selon deux axes :

- Qualité : Il s’agit d’évaluer les dysfonctionnements critiques du processus étudié et d’identifier les mesures d’amélioration à apporter ;

- Sécurité de l’information : Il s’agit d’évaluer les risques liés à l’information et d’identifier les éléments d’alignement des prestations informatiques aux besoins des métiers.

Le champ d’application du projet-pilote a été limité au processus de traitement des demandes d’analyses médicales dont les activités sont détaillées dans le Tableau 1.

Tableau 1 Processus de traitement des demandes d’analyses

Légende : - Check-Out : Transfert d’un échantillon vers un autre site d’analyse - Check-In : Réception d’un échantillon provenant d’un autre site d’analyse

Activité Sous-activité

Réception du matériel Réception des caisses, cartouches, pochettes

Tri du contenu

Enregistrer la demande

Enregistrer la demande

Identifier les échantillons

Contrôler les enregistrements

Traitement de l’échantillon

Répartition des échantillons

Centrifuger

Décanter

Page 19: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Activité Sous-activité

Distribution dans les places de travail

Effectuer le Check-Out

Imprimer les listes

Préparation des échantillons

Vérifier que les analyses soient terminées sur le site courant

Effectuer le Check-Out

Préparation des caisses

Vérifier que tout le matériel a bien été envoyé

Effectuer le Check-In Effectuer le Check-In

Imprimer les nouvelles étiquettes

3. Méthode d’analyse de la sûreté de fonctionnement : AMDEC+ Une nouvelle méthode d’analyse a été définie pour répondre à l’objectif fixé pour le projet-pilote : la méthode AMDEC+. Fondamentalement, AMDEC+ reprend les principes et concepts de la méthode AMDEC, elle-même dérivée de la méthode AMDE normalisée (NF EN 60’812). Toutefois, elle étend les critères de fiabilité du processus définis par AMDEC avec des attributs fondamentaux de la sécurité de l’information. Leur champ d’application est l’analyse de fiabilité, et, plus spécifiquement, l’étude des risques de fiabilité des systèmes.

3.1 Méthode d’analyse de fiabilité AMDEC Historiquement, la méthode AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité) a été développée, dès la fin des années 1950, par l’armée américaine pour identifier, dans les domaines de l’armement nucléaire et de l’aéronautique, l’impact des défaillances sur le personnel et sur la réussite des missions. Dans les années 1960, la NASA a utilisé cette méthode dans le cadre de ses programmes Apollo. Puis, dès les années 1970, l’usage de cette méthode est devenu fréquent dans d’autres secteurs industriels, telles l’industrie chimique, l’industrie automobile ou encore l’aérospatiale (Faucher, 2009). La déclinaison sectorielle spécifique au domaine de la santé de la méthode AMDEC est connue sous les termes anglais « HFMEA » ou « HFMECA ». D’un point de vue analytique, AMDEC est une méthode d’analyse inductive, essentiellement qualitative, de risques a priori de fiabilité. Elle est basée sur le principe de détection des défauts à un stade précoce dans le but d’éliminer, ou de minimiser, les conséquences négatives pour le système, l’environnement et les personnes. Elle repose sur les quatre concepts suivants :

- La défaillance qui est définie comme la non-réalisation, ou la cessation, d’une fonction attendue d’un système ;

- Le mode de défaillance qui est défini par la manière avec laquelle une fonction subit une défaillance. Chaque mode de défaillance est qualifié par sa gravité (G), son occurrence (O) et sa détectabilité (D) ;

- L’effet qui est défini comme les conséquences de la défaillance ;

- La criticité qui traduit le niveau de danger résultant de la défaillance. Cette criticité est mesurée par l’indice de priorité du risque (IPR). Plusieurs méthodes d’évaluation existent pour déterminer cet indice, la plus fréquente étant une simple multiplication (IPR = G x O x D).

Dans le secteur de la santé, un certain nombre de travaux ont été menés sur les méthodes de gestion des risques a priori. Il ressort de ces travaux (Erbault et al., 2000 ; Vanura et al., 2002) que la méthode AMDEC est l’une des méthodes industrielles qui peut être appliquée dans le secteur de la santé. Un certain nombre d’applications pratiques de la méthode AMDEC (Bonnabry et al., 2008 ; Govaerts et al., 2008) ont également démontré sa pertinence dans l’amélioration de la fiabilité de processus critiques des hôpitaux.

Page 20: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Le Tableau 2 présente une fiche d’analyse typique utilisée dans une démarche AMDEC processus.

Tableau 2 Fiche d’analyse typique AMDEC-processus Activité

Mode de

défaillance

Causes du mode

de défaillance

Effets du mode

de défaillance

Gravité

(G)

Occurrence

(O)

Détectabilité

(D)

Indice de priorité

du risque

(IPR)

[1] [2] [3] [4] [5] [6] [7] [8]

… … … … … … … …

La fiche d’analyse AMDEC comporte une première zone de description qualitative des modes de défaillance étudiée (cf. colonnes [1] à [4] ci-dessus) et une seconde zone pour leur évaluation quantitative (cf. colonnes [5] à [8] ci-dessus). 3.2 Méthode d’analyse de sûreté AMDEC+ L’innovation introduite par la méthode AMDEC+ tient à l’extension des critères de fiabilité du processus définis par AMDEC avec ceux de la sécurité de l’information, à savoir la disponibilité, l’intégrité, la confidentialité de l’information, ainsi que l’auditabilité du système d’information hospitalier. Le Tableau 3 présente la fiche d’évaluation utilisée dans une démarche AMDEC+ processus. Cette fiche se différencie de la fiche AMDEC avec l’ajout des quatre critères de sécurité de l’information dans la seconde zone dédiée à l’évaluation quantitative du mode de défaillance (cf. colonnes [5] à [13]).

Tableau 3 Fiche d’évaluation AMDEC+ processus

Activité

Mode de

défaillance

Causes du mode

de défaillance

Effets du mode

de défaillance

Gravité (G)

Occurrence (O)

Détectabilité (D)

Indice de priorité

du risque

(IPR fiabilité)

Disponibilité (D)

Intégrité (I)

Confidentialité (C)

Auditabilité (A)

Indice de priorité

du risque

(IPR sécurité)

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]

… … … … … … … … … … … …

Concrètement, les notations des critères de fiabilité (i.e. gravité, occurrence, détectabilité) d’un mode de défaillance devront être explicitées en termes de critères de sécurité de l’information (i.e. disponibilité, intégrité, confidentialité, auditabilité). Un exemple de cette déclinaison est présenté dans le Tableau 4. Dans ce tableau, la ligne 1 met en évidence un mode de défaillance « Erreur de saisie du patient » qualifié d’une criticité de 360/1000 (G=9, O=5, D=8) pour la fiabilité, et de 15/75 pour la sécurité de l’information (cf. section 4). La gravité obtient une notation de 9/10 (complication avec séquelles graves) basée sur le risque iatrogène important induit par le mode de défaillance. Au niveau de l’occurrence, celle-ci est notée 5/10 (occurrence peu fréquente, documentée), avec une cause liée à l’intégrité informationnelle du SIH, qui obtient une notation maximale de 5/5 (certification a priori). Enfin, la détectabilité est notée 8/10 (probabilité modérée de détecter l’erreur après qu’elle ait atteint le patient, pendant ou après l’hospitalisation), avec une cause liée à la qualité de la traçabilité applicative, qui obtient une notation de 3/5 (SIH auditable). On notera que ni la disponibilité, ni la confidentialité de l’information ne sont des facteurs aggravant la criticité du mode de défaillance. La ligne 2 du tableau met en évidence que le mode de défaillance « Erreur de saisie du code d’analyse » justifierait la définition d’une mesure de réduction du risque au niveau de la qualité du processus (IPR « fiabilité » = 210/1000), mais pas au niveau de la sécurité de l’information (IPR « sécurité »

Page 21: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

= 3/75). Le constat inverse peut être fait pour le mode de défaillance « Panne des postes d’enregistrement (PC) » (cf. ligne 3).

Tableau 4 Exemple d’utilisation de la fiche d’évaluation AMDEC+

Légende : - G : Gravité D : Disponibilité - O : Occurrence I : Intégrité - D : Détectabilité C : Confidentialité - IPR : Indice de priorité du risque A : Auditabilité

Ligne Activités Mode de défaillance

Critère de fiabilité

Critères de sécurité de l’information

Description Résultats attendus

Description G O D IPR D I C A IPR

1

Enregistrer la demande

Demande enregistrée

Erreur de saisie du patient 9 5 8 360 1 5 1 3 15

2 Erreur de saisie du code

d’analyse 6 5 7 210 1 3 1 1 3

3 Panne des postes

d’enregistrement (PC) 7 1 1 7 5 1 1 1 5

Ces exemples d’utilisation de la méthode AMDEC+ montrent que les critères étendus d’évaluation (cf. colonnes [5] à [13], Tableau 3) constitue une zone d’interface entre la sécurité-innocuité (« Safety ») et la sécurité-confidentialité (« Security ») du SIH, respectivement entre la qualité et la sécurité du système d’information hospitalier. La mise en œuvre de la méthode AMDEC+ est également génératrice d’une quantité importante d’information et de connaissances relatives à la sûreté de fonctionnement du SIH. En effet, les questions auxquelles le professionnel de la santé sera amené à réfléchir sont typiquement : «Vous avez évalué la gravité de ce mode de défaillance à 9/10. Est-ce parce qu’il y a des problèmes de disponibilité de l’information ? Ou est-ce parce que l’intégrité des données n’est pas garantie dans tel cas d’utilisation ? », ou encore « Vous avez évalué la gravité de ce mode de défaillance à 7/10. Quel serait cette gravité si la durée maximale d’indisponibilité de l’information passait de 4 heures à 8 heures ?». Tous ces éléments pourront être exploités par les professionnels de la qualité et de la sécurité de l’information dans leur domaine respectif, et notamment dans la définition cohérente de plans de traitement des risques.

4. Validation de la méthode AMDEC+ Pour mener ce projet-pilote de validation de la méthode AMDEC+, une équipe de projet multidisciplinaire a été constituée. Avec une dotation de dix personnes, cette équipe comprenait des professionnels des laboratoires d’analyses médicales, de la qualité, de l’informatique médicale et de la sécurité des systèmes d’information. Le projet-pilote s’est déroulé sur une période de six mois, avec une charge de travail individuelle de quelque 30 heures. Les échelles d’évaluation des critères de fiabilité (i.e. gravité, occurrence, détectabilité) utilisées dans le projet-pilote ont été établies sur la base de travaux menés dans ce domaine (Bonnabry et al., 2008 ; Vanura et al., 2002), ainsi que sur les recommandations émises par le centre national américain pour la sécurité des patients (NCPS) dépositaire de la marque « HFMEA ». Chacune des trois échelles comportant un classement à dix niveaux (1 = non-significatif, 10 = vital, certain, non détectable), l’indice de priorité du risque de fiabilité (IPR) maximal est de 1'000 (G=10 x O=10 x D=10). Quant aux échelles d’évaluation des critères de sécurité de l’information (i.e. disponibilité, intégrité, confidentialité, auditabilité), elles ont été établies sur la base de recommandations spécifiques au secteur de la santé (GMSIH-PFS, 2004 ; DFE-AEP, 2007), ainsi que sur la base de la politique générale de gestion

Page 22: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

des risques du RSV. Chacune des quatre échelles comporte un classement à cinq niveaux (1 = non-significatif, 5 = critique, vital, catastrophique). L’indice de priorité du risque de sécurité (IPR) maximal théorique est de 625 (D=5 x I=5 x C=5 x A=5). Toutefois, comme il est relativement peu vraisemblable qu’un mode de défaillance ne soit induit par un incident de sécurité impactant plus que trois des quatre paramètres de sécurité de l’information, l’indice de priorité du risque maximal a été artificiellement fixé à 75.

5. Résultats de l’étude AMDEC+ Le Tableau 5 présente les cinq modes de défaillances les plus critiques du processus de traitement des demandes d’analyses, ainsi que le plan de traitement proposé par l’équipe de projet. Les valeurs de la colonne « Criticité Avant » représentent la criticité du mode de défaillance analysé avant la mise en œuvre de la mesure de réduction du risque. La colonne « Criticité Après » donne la valeur de la criticité avec le plan de traitement.

Tableau 5 Top 5 – Les modes de défaillance les plus critiques et les mesures de réduction du risque Légende :

- Prescription connectée : Prescription électronique de l’examen par le requérant au lieu d’une prescription sur un support papier

- Chaîne pré-analytique : Automatisation et centralisation de la décantation et de la gestion des tubes secondaires au lieu d’une décantation et d’une gestion des tubes manuelles faite dans chaque laboratoire

Id Activité / Sous-Activité Mode de défaillance

IPR fiabilité « avant » [G/O/D]

IPR sécurité « avant » [D/I/C/A]

IPR fiabilité « après » [G/O/D]

Plan de traitement

1 Enregistrer la demande /

Contrôler les enregistrements

Erreur de contrôle

486 [9/6/9]

1

324 [9/4/9]

Prescription connectée et contrôle simple

135 [9/3/5]

Prescription connectée et contrôle double

2 Traitement de l’échantillon / Décanter

Erreur de tube durant la décantation

486 [9/6/9]

1

405 [9/5/9]

Travailler avec les tubes primaires, si possible

9 [9/1/1]

Chaîne pré-analytique – Automatisation des décantations

3 Enregistrer la demande / Identifier les échantillons

Erreur d’identification de l’échantillon

432 [9/6/8]

1

360 [9/5/8]

Eviter de coller le code-barres du laboratoire sur l’étiquette des données

patient

288 [9/4/8]

Chaîne pré-analytique - Automatisation de la gestion des tubes secondaires

144 [9/2/8]

Prescription connectée – Etiquetage des tubes sur le

site de prélèvement

72 [9/1/8]

Prescription connectée pour le tube primaire et

identification forte du patient lors du prélèvement (e.g.

bracelet)

4 Traitement de l’échantillon / Décanter

Erreur d’étiquetage des

tubes secondaires

432 [9/6/8]

1

360 [9/5/8]

Travailler avec les tubes primaires, si possible

9 [9/1/1]

Chaîne pré-analytique – Automatisation des

Page 23: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

Id Activité / Sous-Activité Mode de défaillance

IPR fiabilité « avant » [G/O/D]

IPR sécurité « avant » [D/I/C/A]

IPR fiabilité « après » [G/O/D]

Plan de traitement

décantations

5 Enregistrer la demande / Enregistrer la demande

Erreur de saisie dans logiciel

360 [9/5/8]

15

216 [9/4/6]

Lien avec le logiciel des cabinets médicaux

-

Le traitement du mode de défaillance nécessite la mise en place d’un groupe de

travail

5.1 Analyse quantitative des résultats L’analyse AMDEC+ du processus de traitement des demandes d’analyses a permis d’identifier 83 modes de défaillances, dont 17 (20%) ont été traités sur la base des critères d’acceptation des risques. Le plan de traitement comprend 36 mesures de réduction des risques, dont 16 (44%) permettent de réduire la criticité des modes de défaillance concernés de 50% au moins. Les résultats de cette étude (cf. Tableau 5) montrent que les modes de défaillance de criticité élevée sont principalement liés à des erreurs humaines (e.g. erreur de tri, erreur de saisie). En effet, et de manière surprenante pour les professionnels des laboratoires, cette analyse AMDEC+ a mis en évidence que les modes de défaillance portés par des moyens informatiques n'obtiennent pas, d’une manière en générale, une criticité haute. Ce constat peut certainement être expliqué par le fait que l'application informatique de support du processus d’analyses médicales (WinDMLab de Datamed SA) est relativement stable et connue depuis de nombreuses années par les professionnels des laboratoires. Avec des rapports de réduction de risques allant de 150 à 500%, le second constat est relatif à l’efficacité des mesures basées sur la mise en œuvre d’une prescription connectée (prescription électronique de l’examen par le requérant au lieu d’une prescription sur un support papier) et d’une chaîne pré-analytique (automatisation et centralisation de la décantation et de la gestion des tubes secondaires au lieu d’une décantation et d’une gestion des tubes manuelles faite dans chaque laboratoire). En effet, ces deux mesures permettent de réduire de manière significative la criticité de six, respectivement cinq modes de défaillances majeurs liés à des erreurs humaines. Si ces solutions permettent d’atténuer substantiellement les risques de manipulation, elles introduiront toutefois un certain nombre de nouveaux risques liés à ces nouvelles technologies. Il y a donc un transfert de l’origine humaine du risque vers une source technologique. Les résultats de l’analyse AMDEC+ montrent ainsi qu’en l’état, le processus de traitement des demandes d’analyses est exposé essentiellement à des risques de fiabilité, sans risques majeurs de sécurité de l’information. Il est probable qu’avec la mise en œuvre de la prescription connectée et de la chaîne pré-analytique, un certain nombre de nouveaux risques de sécurité de l’information apparaissent. Enfin, d’un point de vue analytique, les mesures de réduction des risques identifiées n’ont pas permis de diminuer la gravité des modes de défaillances. Ce constat est relativement fréquent dans les secteurs d’activité où la sécurité des personnes est engagée (e.g. santé, aviation civile, nucléaire). En effet, dans ces domaines d’activités, il est relativement difficile de limiter – ou confiner – la propagation des conséquences négatives liées à la réalisation d’un événement lorsque les mesures de prévention en place n’ont pas permis d’empêcher sa survenance. 5.2 Analyse qualitative des résultats Les bénéfices de la démarche AMDEC+ au sein du RSV sont essentiellement de deux ordres. En termes d’organisation apprenante, le projet-pilote AMDEC+ a constitué une plateforme de partage d’information et de connaissances entre des représentants de différents métiers, et un lieu de promotion d’une culture d’entreprise consciente des risques où les problèmes de fiabilité et de sécurité ont pu être ouvertement thématisés. L’expérience AMDEC+ a été appréciée par l’équipe de projet qui a travaillé dans un esprit de critique constructive. Ensuite, en termes de performances organisationnelles, l’analyse AMDEC+ a permis

Page 24: Présentation Giseh 2010 - AMDEC+ - v300810-3 Giseh... · Exemple : La gravité d’un ... Projet-pilote « AMDEC+ » – Contexte - Mandat : ... Présentation des travaux AMDEC réalisés

de réaliser une première étape de consolidation – basée sur la gestion des risques – des domaines de la qualité et de la sécurité de l’information. L’analyse du processus de traitement des demandes d’analyses a ainsi permis de mettre en évidence des modes de défaillance critiques et d’amener ce processus à un niveau de standardisation et de maturité supérieur. 5.3 Principales difficultés rencontrées Les principales difficultés rencontrées dans le projet-pilote AMDEC+ ont été liées d’une part à un périmètre d’étude défini initialement de manière trop large, introduisant un niveau de complexité d’analyse trop important. D’autre part, l’évaluation qualitative de la gravité des modes de défaillance est relativement difficile et nécessite une approche relativement systématique pour minimiser les biais cognitifs propres au jugement humain. Dans le contexte d’évaluation de la gravité, il est important de souligner la nécessité d’avoir un médecin clinicien (cf. requérant) dans l’équipe de projet. Cela n’a pas été le cas au début du projet-pilote.

6. Conclusion La démarche AMDEC+ a permis d’identifier un certain nombre de modes de défaillance critiques dans le processus de traitement des demandes d’analyses liés à des erreurs humaines. Cette étude montre que, en l’état, les principaux risques portent essentiellement sur la fiabilité du processus, sans risques majeurs de sécurité de l’information. Toutefois, il est probable que cette tendance s’inverse avec une informatisation accrue du processus (cf. prescription connectée, une chaîne pré-analytique). L’apport principal de la méthode AMDEC+ est de proposer une analyse combinée des risques de fiabilité et de sécurité, en mettant en évidence les points d’interface – ou points de collaboration – entre les domaines de la qualité et de la sécurité. Si ce projet-pilote a permis de faire une première validation probante de cette méthode d’analyse, elle devra encore être affinée et validée à plus large échelle, et notamment dans le domaine clinique.

7. Références Bonnabry, P., Despont-Gros, C., & Gauser, D. (2008). A risk analysis method to evaluate the impact of a computerized provider order entry system on patient safety. JAMIA , 1-27. DFE-AEP. (2007). Analyse de risques dans la santé publique - Rapport final. Berne: Confédération suisse. Erbault, M., Glikman, J., & Ravineau, M.-J. (2000). Méthodes et outils des démarches qualité pour les établissements de santé. Paris: ANAES. Faucher, J. (2009). Pratique de l'AMDEC. Paris: Dunod. Fieschi, M. (2003). Les données du patient partagées : La culture du partage et de la qualité des informations pour améliorer la qualité des soins. Marseille: Faculté de médecine - Université de Marseille. GMSIH-PFS. (2004). Domaine de sécurité : Système d'information hospitalier. Paris: Groupement pour la Modernisation du Système d'Information Hospitalier. Govaerts, D., Courbe, A., & Lequeu, R. (2008). Application de l'AMDEC aux processus du laboratoire d'analyses de biologie clinique de l'hôpital André Vésale. Gestion et ingénierie des systèmes hospitaliers (pp. 431-439). Lausanne: EPFL. Kluge, E.-H., Allaert, F.-A., & Barber, B. (2001). Info-vigilance or safety in health information systems. MedInfo , 1229-1233. Vanura, A., Marmet, E., & Donjon, A. (2002). Modèle de gestion des risques en établissements de santé. Paris: Cap Gemini et Ernst & Young / DHOS - Ministère de l'emploi et de la solidarité.