Une vision sur la collaboration électronique dans les soins de santé, basée sur l’expérience acquise dans le secteur social, et le rôle possible d’une.

Présentation au sujet: "Une vision sur la collaboration électronique dans les soins de santé, basée sur l’expérience acquise dans le secteur social, et le rôle possible d’une."— Transcription de la présentation:

1 Une vision sur la collaboration électronique dans les soins de santé, basée sur l’expérience acquise dans le secteur social, et le rôle possible d’une plate-forme Be-Health Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué Smals Chaussée Saint-Pierre 375 B-1040 Bruxelles Site web BCSS: Site web personnel:

2 Objectif optimaliser la qualité et la continuité des prestations de soins de santé ainsi que la sécurité du patient éviter des formalités administratives inutiles dans le chef des prestataires de soins offrir un soutien optimal à la politique des soins de santé sur base d’un échange d’informations électronique bien organisé entre toutes les parties concernées par les prestations de soins de santé tout en offrant les garanties utiles au niveau de la sécurité de l’information et de la protection de la vie privée

3 Fondements utiles utilisation généralisée du numéro d’identification du patient contenu minimal des dossiers de soins doit pouvoir être communiqué par la voie électronique disponibilité et accessibilité permanentes du contenu minimal des dossiers de soins communicable par la voie électronique contenu, format et méthodes normalisés pour l’échange de prescriptions de soins électroniques Comité sectoriel de la Commission de la protection de la vie privée (CPVP) gestion des utilisateurs et des accès

4 Fondements utiles plate-forme sécurisée pour l’échange électronique de données relatives aux patients, aux soins donnés et aux résultats des soins donnés et de prescriptions de soins électroniques entre tous les acteurs concernés par les prestations de soins de santé réseau services de base normes d’échange canaux d’ouverture adaptés à l’utilisateur organisme indépendant gérant la plate-forme d’échange cadre juridique adapté

5 Numéro d’identification du patient
soit numéro d’identification sécurité sociale (NISS) soit numéro d’identification déduit de manière irréversible du numéro d’identification de la sécurité sociale à l’aide d’un algorithme disponible auprès de chaque prestataire de soins, à déterminer par exemple par le Groupe de travail Sécurité de la Commission des standards télématiques dans les Soins de santé soit unique par patient et valable auprès de tous les prestataires de soins / institutions de soins soit unique par patient auprès d’un prestataire de soins / institution de soins avec possibilité de conversion entre numéros d’identification du patient auprès des différents prestataires de soins / institutions de soins par l’organisation indépendante gérant la plate-forme d’échange (voir infra)

6 Numéro d’identification du patient
codification ou dépersonnalisation des informations si l’identification du patient à l’aide du numéro d’identification du patient n’est plus nécessaire avis favorable relatif à la méthode de déduction irréversible d’un numéro d’identification du patient à partir du numéro d’identification de la sécurité sociale a déjà été donné par la CPVP à l’occasion de l’arrêté royal relatif au registre du cancer

7 Contenu communicable minimal dossier soins
accords sur le contenu minimal d’un dossier de soins qui doit pouvoir être communiqué par la voie électronique informations relatives au patient informations relatives aux soins donnés informations relatives aux résultats des soins donnés pas de monopole ou d’agréation de logiciels cependant mesures encourageant les prestataires de soins / institutions de soins à tenir à jour des dossiers de soins électroniques avec un contenu communicable minimal et à mettre ce contenu communicable minimal à la disposition, de manière permanente et par la voie électronique, des personnes autorisées à y accéder

8 Accessibilité dossiers de soins
le contenu communicable minimal des dossiers de soins doit être disponible et accessible en permanence pour les personnes autorisées à y accéder soit auprès du prestataire de soins même soit auprès d’un sous-traitant choisi par le prestataire de soins institution de soins accords de coopération entre les prestataires de soins organisme indépendant gérant la plate-forme d’échange … avec les dispositions nécessaires en matière de back-up

9 Prescriptions de soins électroniques
contenu standardisé et format électronique des différents types de prescriptions de soins méthode de création des prescriptions de soins électroniques nécessitant un minimum de formalités administratives méthodes d’échange électronique des prescriptions de soins garantie du libre choix du prestataire de soins par le patient mesures encourageant les prestataires de soins / institutions de soins à créer et échanger des prescriptions de soins électroniques

10 Comité sectoriel composé de tâches représentants de la CPVP
spécialistes indépendants en matière de sécurité sociale et de soins de santé désignés par la Chambre des représentants tâches accorder des autorisations pour l’échange (électronique) de données sociales à caractère personnel et de données à caractère personnel relatives à la santé, dans les cas autres que ceux autorisés par la loi déterminer l’organisation et les polices en matière de sécurité de l’information lors du traitement de données sociales à caractère personnel et de données à caractère personnel relatives à la santé fournir des avis et des recommandations en matière de sécurité de l’information lors du traitement de données sociales à caractère personnel et de données à caractère personnel relatives à la santé traiter les plaintes en matière d’infraction à la sécurité de l’information lors du traitement de données sociales à caractère personnel et de données à caractère personnel relatives à la santé

11 Gestion des utilisateurs et des accès
garantir que seuls les prestataires de soins / institutions de soins autorisés aient accès aux informations personnelles auxquelles ils peuvent avoir accès conformément à la loi ou aux autorisations du Comité sectoriel relatives aux patients dont ils ont besoin des informations personnelles concernées dans le cadre des prestations de soins

12 Gestion des utilisateurs et des accès
authentification de l’identité du prestataire de soins, par exemple au moyen de sa carte d’identité électronique vérification en ligne de la qualité du prestataire de soins par une consultation électronique de la (des) banque(s) de données authentique(s) des prestataires de soins vérification en ligne des mandats de l’utilisateur autorisé à intervenir au nom d’un prestataire de soins / une institution de soins par une consultation électronique de la (des) banque(s) de données authentique(s) des mandats

13 Gestion des utilisateurs et des accès
authentification de l’identité du patient au moyen de sa carte d’identité électronique ou de sa carte SIS, sauf si une relation de soins fixe est enregistrée entre le prestataire de soins / l’institution de soins et le patient (voir infra, répertoire des références) dans des cas d’urgence gestion des autorisations d’accès avec indication de quel prestataire de soins / institution de soins / application en quelle qualité peut avoir accès dans quelle situation à quels types de données concernant quels patients pour quelle période

14 Répertoire des références
contenu indication, par patient identifié à l’aide de son numéro d’identification du patient, des endroits où se trouvent les différents types d’informations relatives au patient, aux soins donnés et aux résultats des soins donnés d’une part, table avec relations de soins fixes entre prestataires de soins et leurs patients, la nature de la relation, et les dates de début et de fin de la relation d’autre part, table avec les endroits où se trouvent, en dehors d’une relation de soins fixe, des informations électroniques relatives aux différents patients, éventuellement via un système graduel (répertoire des références général renvoie à des répertoires des références spécifiques par groupe de prestataires de soins ou par institution de soins) pas de données de contenu !!!

15 Répertoire des références
fonctions contrôle préventif quant à la légitimé de l’accès aux informations relatives à un patient donné routage des demandes d’informations vers les endroits de disponibilité des informations relatives au patient concerné possibilités de communication automatique d’informations à certains prestataires de soins

16 Gestion des utilisateurs et des accès
autorisations d’accès sont accordées par le Comité sectoriel, sauf si elles découlent d’une loi conformité d’une demande d’accès concrète avec les autorisations d’accès est validée à titre préventif par l’organisme indépendant gérant la plate-forme d’échange tous les accès font l’objet d’une prise de trace (logging) électronique au niveau de l’utilisateur afin de pouvoir vérifier par la suite, en cas de plaintes, si l’accès était légitime (uniquement qui-quoi-quand, pas de contenu) l’accès aux loggings est protégé de manière stricte

17 Réseau et normes d’échange
utilisation de l’infrastructure réseau existante (Internet, extranet sécurité sociale, FedMAN, …) avec encryptage end-to-end des informations de contenu (concept de réseaux privés virtuels (VPN)) un maximum d’échanges à l’aide de messages électroniques structurés d’application à application un maximum d’échanges sur base de standards ouverts ou, à tout le moins, de spécifications ouvertes orchestration de l’échange de données par l’organisme indépendant gérant la plate-forme d’échange

18 Canaux d’ouverture adaptés aux utilisateurs
différents supports ordinateur (portable) PDA GSM … une ouverture intégrée des informations, indépendamment des sources d’informations avec au moins une application gratuite, accessible de manière générale, pour l’ouverture intégrée des informations

19 Organisme de gestion indépendant
de préférence un organisme de gestion, géré par différents types de prestataires de soins / institutions de soins mutualités en leur qualité de représentant des patients organismes publics chargés de l’organisation (de l’assurance) des soins de santé tâches développer et gérer la plate-forme d’échange sécurisée: choix infrastructure, fixation standards et spécifications, … offrir des canaux d’ouverture adaptés aux utilisateurs organiser un système opérationnel de gestion des accès et des utilisateurs gérer le répertoire des références

20 Organisme de gestion indépendant
tâches coordonner le développement des processus d’échange électronique de données entre les utilisateurs de la plate-forme d’échange orchestrer l’échange électronique d’informations entre les utilisateurs de la plate-forme d’échange éventuellement convertir des numéros d’identification du patient entre prestataires de soins/institutions de soins politique proactive d’afin d’éviter un accès illicite à des données à caractère personnel, notamment par un contrôle préventif de la légitimité de l’accès aux informations personnelles une conservation et analyse des loggings des échanges de données à caractère personnel (uniquement qui-quoi-quand) helpdesk

21 Cadre juridique adapté
possibilité resp. obligation d’utiliser le numéro d’identification du patient mode de fixation du contenu communicable électronique minimal des dossiers de soins incentives et obligation progressive d’une mise à disposition électronique permanente du contenu communicable électronique minimal du dossier de soins et échange électronique de prescriptions de soins obligation d’alimenter le répertoire des références force et valeur probantes des prescriptions et échanges de données électroniques

22 Cadre juridique adapté
création organisme de gestion de la plate-forme d’échange sécurisée, avec détermination de la composition de l’organe de gestion et des missions création Comité sectoriel au sein de la CPVP, avec détermination de la composition et des compétences

23 Facteurs de succès critiques
collaboration entre tous les acteurs concernés par les prestations de soins de santé, basée sur une répartition des tâches plutôt que sur une centralisation des tâches confiance de tous les acteurs concernés en ce qui concerne le maintien de l’autonomie nécessaire et de la sécurité du système d’abord développement de la plate-forme d’échange et création des organes nécessaires (organisme de gestion de la plate-forme, Comité sectoriel, …) et ensuite élaboration sur le plan du contenu au sein de ces organes quick wins en combinaison avec une vision à long terme cadre légal

24 Plate-forme Be-Health
Patients et prestataires de soins PortaHealth SVA Portail SS SVA SVA SVA SVA SPF SS SVA Portail INAMI Portal BeHealth MyCareNet SVA SVA SVA SVA SVA SVA SVA SVA Utilisateurs Be- Health Plate-forme avec services de base SAV SAV SAV SAV SAV SAV Fournisseurs

25 Plate-forme Be-Health
service de base un service développé et mis à la disposition par Be-Health, qui peut être utilisé par l’offreur d’un service à valeur ajoutée lors du développement et de l’offre d’un service à valeur ajoutée service à valeur ajoutée (SVA) un service mis à la disposition des patients et/ou prestataires de soins l’instance chargée du développement et de la mise à disposition d’un service à valeur ajoutée peut utiliser à cet effet les services de base offerts par Be-Health

26 Plate-forme Be-Health
source authentique validée (SAV) une banque de données contenant des informations auxquelles Be-Health fait appel le gestionnaire de la banque de données est responsable de la disponibilité et de (l’organisation de) la qualité des informations mises à la disposition

27 Services de base déjà disponibles
réseau, basé sur l’infrastructure existante (Internet, Carenet, extranet sécurité sociale, FedMAN, …) environnement portail ( avec notamment système de content management moteur de recherche boîte aux lettres électronique personnelle pour chaque prestataire de soins gestion des utilisateurs et des accès intégrés gestion de loggings

28 Portail

29 Portail

30 Gestion des accès et des utilisateurs
authentification de l’identité: en fonction du niveau de sécurité requis carte d’identité électronique (eID) numéro utilisateur, mot de passe et token citoyen numéro utilisateur et mot de passe vérification des qualités et mandats: accès à des sources authentiques validées autorisation d’utiliser un service à valeur ajoutée: gestion par l’offreur du service développé sur base d’un modèle générique de policy enforcement

31 Policy Enforcement Model
Action sur application Action REFUSÉE Policy sur application Utilisateur Application Application AUTORISÉE ( PEP ) Action sur application Demande Réponse de décision décision Information Question / Recherche Policy Decision Réponse policies (PDP) Information Question / Réponse Gestion de l’autorisation Policy Administration Policy Information Policy Information (PAP) (PIP) (PIP) Gestionnaire Policy Source authentique Source authentique repository

32 Policy Enforcement Point (PEP)
intercepter la demande d’autorisation avec toutes les informations disponibles concernant l’utilisateur, l’action demandée, les ressources et l’environnement transmettre la demande d’autorisation au Policy Decision Point (PDP) et exiger une décision d’autorisation donner accès à l’application et fournir les justificatifs pertinents Action sur application Action REFUSÉE Policy sur Utilisateur Application application Application AUTORISÉE Action ( PEP ) sur application Demande Réponse de décision, décision Policy Décision ( PDP )

33 Policy Decision Point (PDP)
sur la base de la demande d’autorisation reçue, rechercher la policy d’autorisation adéquate dans les Policy Administration Points (PAP) évaluer la policy et, au besoin, rechercher les informations pertinentes dans les Policy Information Points (PIP) prendre la décision d’autorisation (permit / deny / not applicable) et la communiquer au PEP Policy Application ( PEP ) Demande de Réponse décision décision Information Policy Question / Recherche Réponse Policies Décision ( PDP ) Information Question / Réponse Policy Administration Policy Information Policy Information ( PAP ) ( PIP ) ( PIP )

34 Policy Administration Point (PAP)
environnement de sauvegarde et de gestion des policies d’autorisation par les personnes compétentes désignées par le responsable de l’application mise à la disposition du PDP des policies d’autorisation Gestion Recherche de l’autorisation PAP Policies PDP Gestionnaire Policy repository

35 Policy Information Point (PIP)
mise à la disposition du PDP de l’information pour l’évaluation des policies d’autorisation (sources authentiques avec caractéristiques, mandats, …) Information Question/ PDP Réponse Information Question/ Réponse PIP 1 PIP 2 Source authentique Source authentique

36 Architecture Be-Health Secteur social (BCSS) SPF hors social (Fedict)
USER USER USER APPLICATIONS APPLICATIONS APPLICATIONS Authen - Authorisation Authen - Authorisation Authen - Authorisation tication PEP WebApp tication PEP WebApp tication PEP WebApp Role Mapper XYZ Role XYZ Role Mapper Mapper XYZ Role Role Role Mapper Mapper Mapper DB DB DB PDP Role PDP Role PDP PAP PAP Role PAP Role Provider Role Provider Role Provider DB ‘’Kephas’’ ‘’Kephas’’ Provider Provider DB ‘’Kephas’’ Provider DB PIP PIP PIP PIP PIP PIP PIP PIP PIP Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Provider Provider Provider Provider Provider Provider Provider Provider Provider DB DB Gestion DB DB Gestion Gerechts- deurwaar- ders DB DB DB Gestion Mandaten RIZIV XYZ SAV Mandaten UMAF XYZ SAV XYZ XYZ SAV

37 Sources authentiques validées
cadastre des prestataires de soins gestionnaire: SPF Santé publique contient des informations relatives au diplôme et à la spécialité d’un prestataire de soins identifié à l’aide de son numéro d’identification de la sécurité sociale (NISS) banque de données contenant les agréations de l’INAMI gestionnaire: INAMI contient des informations relatives à l’agréation par l’INAMI d’un prestataire de soins identifié à l’aide de son NISS banque de données des personnes mandatées à intervenir au nom d’une institution de soins gestionnaire: ONSS (partie gestion des utilisateurs entreprises) contient les informations suivantes: quelles personnes identifiées à l’aide de leur NISS sont mandatées à utiliser quelles applications au nom de l’institution de soins

38 Principe des “cercles de confiance"
but éviter une centralisation inutile éviter des menaces inutiles pour la protection de la vie privée éviter des contrôles identiques et enregistrements multiples de loggings méthode: répartition des tâches entre les instances concernées par la prestation de services électronique avec des accords précis en ce qui concerne: quelle instance fait quelles authentifications, vérifications et contrôles à l’aide de quels moyens et en est responsable la manière selon laquelle les résultats des authentifications, vérifications et contrôles réalisés sont communiqués par la voie électronique d’une manière sécurisée entre les instances concernées quelle instance tient quels loggings comment veiller à ce qu’en cas d’investigation, à l’initiative d’un organe de contrôle ou à l’occasion d’une plainte, un traçage complet puisse avoir lieu; à savoir quelle personne physique a utilisé quel service ou transaction concernant quel citoyen ou entreprise à quel moment, par le biais de quel canal et pour quelles finalités

39 Exemples de services à valeur ajoutée
facturation tiers payant Medic-e introduction dans Registre du Cancer Medattest appui prescription de soins électronique dans les hôpitaux déclaration de naissance électronique

40 Facturation tiers payant
offreur: Collège Intermutualiste National utilisateurs: infirmiers, leurs groupements et mandataires fonctionnalité: transmettre les factures tiers payant par la voie électronique aux mutualités services de base utilisés identification et authentification de l’identité de l’utilisateur (eID ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité de l’infirmier avec agréation INAMI vérification du mandat boîte aux lettres électronique (publication de documents) logging

41 Medic-e offreur: SPF Sécurité Sociale
utilisateurs: médecins évaluant les personnes handicapées fonctionnalité: introduire l’évaluation des personnes handicapées par la voie électronique dans le système informatique du SPF Sécurité sociale services de base utilisés identification et authentification de l’identité de l’utilisateur (eID ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité du médecin avec agréation INAMI boîte aux lettres électronique (publication de documents) logging

42 Introduction dans Registre du cancer
offreur: Fondation Registre du Cancer utilisateurs: oncologues au sein des institutions de soins et des laboratoires fonctionnalité: introduire des informations dans le Registre du Cancer par la voie électronique et avoir accès aux informations introduites services de base utilisés identification et authentification de l’identité de l’utilisateur (eID) vérification de la qualité du médecin avec agréation INAMI boîte aux lettres électronique (publication de documents) logging

43 Medattest offreur: INAMI
utilisateurs: médecins, dentistes, kinésithérapeutes, logopèdes, orthopédistes, institutions de soins et leurs mandataires fonctionnalité: commander des prescriptions de soins en mode en ligne fonctionnalités utilisées: identification et authentification de l’identité de l’utilisateur (eID ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité des utilisateurs vérification du mandat logging

44 Prescription soins électroniques dans institution de soins
examen des fonctionnalités requises fonctionnalités avant que la prescription ne puisse être traitée authentification de l’identité du prescripteur vérification de la qualité du prescripteur système garantissant que la prescription ne peut plus être modifiée de manière imperceptible après application des méthodes garantissant l’intégrité et la datation électronique authentification de l’identité, vérification de la qualité du prescripteur, garantie de l’intégrité et de la datation électronique doivent avoir lieu pour toute prescription individuelle le temps nécessaire à l’authentification de l’identité, à la vérification de la qualité et à la garantie de l’intégrité ne peut être supérieur à ¼ seconde par prescription un même prescripteur doit pouvoir switcher sans frais entre plusieurs endroits à partir desquels il souhaite rédiger une prescription validation locale selon laquelle la prescription n’a pas été modifiée suite à l’application de la méthode visant à garantir l’intégrité

45 Prescription soins électroniques dans institution de soins
examen des fonctionnalités requises fonctionnalités pendant traitement de la prescription la datation électronique doit être demandée immédiatement après l’application de la méthode visant à garantir l’intégrité et avoir lieu dans un délai de 30 secondes au maximum après la demande exigences d’ordre organisationnel rapidité de remplacement d’un moyen d’authentification si inutilisable traçabilité de celui qui a réalisé quelle opération, à quel moment concernant la création de la prescription (conservée pendant une période définie) traçabilité du contenu et du moment de chaque demande et traitement d’une demande de révocation d’un moyen d’authentification point d’attention spécifique il y a lieu d’éviter que les institutions de soins ne soient confrontées pour divers types de processus à différents systèmes d’authentification de l’identité, de vérification de la qualité, de garantie de l’intégrité de documents, de datation électronique, …

46 Prescription soins électroniques dans institution de soins
proposition de solution l’authentification de l’identité et la vérification de la qualité ont lieu au niveau local et interviennent au minimum à l’aide d’un user-id, un mot de passe [et d’un élément en possession], à condition que tout prescripteur signe un document selon lequel tout ce qui est, sur le plan de l’identité et des qualités, authentifié à l’aide de son user-id, son mot de passe [et l’élément en sa possession] tombe sous sa responsabilité les prescriptions font l’objet d’un hachage les résultats du hachage (donc pas le contenu même de la prescription !) font l’objet d’un timestamp par Be-Health des règles organisationnelles précises en matière de gestion des user-ids, des mots de passe [et des éléments en possession] sont versées dans un arrêté royal en exécution de l’article 21 de l’AR n°78; celles-ci sont basées sur les résultats de Elodis une réglementation fixant les conditions dans lesquelles des prescriptions complémentaires sont possibles, est en cours d’élaboration

47 Cadre juridique de création Be-Health
article 4 de la loi du 27 décembre 2006 portant des dispositions diverses «Un service de l'Etat à gestion séparée, tel que visé à l'article 140 des lois sur la comptabilité de l'Etat, coordonnées le 17 juillet 1991, dénommé "Be-Health" est créé au sein du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement en vue de la gestion de la plate-forme électronique de services relative à l'échange de données de soins de santé. Le Roi détermine, par arrêté délibéré en Conseil des ministres, les missions et les modalités de gestion et d'exploitation de ce Service de l'Etat à gestion séparée».

48 Proposition de mission
développer une vision et une stratégie en matière de prestation de services électronique dans le secteur des soins de santé, en concertation étroite avec les acteurs privés et publics de ce secteur, et veiller au respect de cette vision développer les normes, les standards et l’architecture de base nécessaires pour une mise en œuvre efficace de la technologie de l'information et de la communication à l'appui de cette stratégie et surveiller le respect de ces normes et standards élaborer, dans une stratégie commune, des services de base qui appuient potentiellement les acteurs du secteur des soins de santé, tels que une plate-forme d’interopérabilité pour un échange de données électronique sécurisé les services de base nécessaires à l’appui de cet échange de données électronique, tels qu’un système de gestion des accès et des utilisateurs, un système pour l’organisation et le traçage des échanges de données électroniques ou un système d’accès électronique aux données gérer la collaboration avec d’autres instances publiques chargées de la coordination de la prestation de services électronique

49 Proposition de composition Comité gestion
représentants des prestataires de soins et des institutions de soins représentants des mutualités représentants des organismes publics concernés INAMI SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement et SPF Sécurité sociale Centre fédéral d’expertise des soins de santé et Agence fédérale des médicaments Banque Carrefour de la sécurité sociale et SPF ICT

50 Pour plus d’informations
portail Be-Health site web Banque Carrefour de la sécurité sociale site web personnel Frank Robben

51 Merci ! Questions ?