| Habilitation informatique : niveau d’accès aux données et aux fonctions (en particulier possibilités de requêtes). Les habilitations résultent des activités et de la qualité des utilisateurs. Elles sont justifiées par le métier ou par une mission. Elles doivent prendre en compte la continuité des soins. | | |
|
| | |
|
| | |
| 
|
Norme ISO 27799:2008 (catalogue de l’ISO) Informatique de santé - Management de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002
L’ISO 27799:2008 fournit des lignes directrices permettant d’interpréter et de mettre en œuvre l’ISO/CEI 27002 dans le domaine de l’informatique de santé et constitue un complément à cette dernière |
| ISO/CEI 27002 régie plus généralement la sécurité de l’information | |
|
| | |
|
 |
Loi informatique et liberté
- données à caractère personnel (article 2)
- responsable d’un traitement de données à caractère personnel (article 3)
- traitement des données à caractère personnel (article 6)
- données en rapport avec les origines ethniques, les opinions politiques ou religieuses (article 8)
- droit à l’information (article 32)
- responsabilités vis-à-vis de la sécurité des données (article 34)
- droit d’opposition (article 38)
- droit d’accès (article 39)
- droit de rectification (article 40)
Voir aussi titre 1 de la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés |
| | |
| |
|
Article R1110-2 du CSP : « Le responsable du traitement, au sens de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est chargé de veiller au respect du référentiel. Il lui appartient notamment de :
1° Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations (...)» |
| | |
| |
|
Article R4127-45 du CSP :
I. - Indépendamment du dossier médical prévu par la loi, le médecin tient pour chaque patient une fiche d’observation qui lui est personnelle ; cette fiche est confidentielle et comporte les éléments actualisés, nécessaires aux décisions diagnostiques et thérapeutiques.
Les notes personnelles du médecin ne sont ni transmissibles ni accessibles au patient et aux tiers.
Dans tous les cas, ces documents sont conservés sous la responsabilité du médecin.
II. - A la demande du patient ou avec son consentement, le médecin transmet aux médecins qui participent à la prise en charge ou à ceux qu’il entend consulter les informations et documents utiles à la continuité des soins.
Il en va de même lorsque le patient porte son choix sur un autre médecin traitant |
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
| | |
|
 |
Portail mesHabilitations
« C’est ici que je désigne les personnes en charge de la gestion des certificats logiciels ou les gestionnaires eRPPS et que je consulte mes habilitations » |
| | |
| |
|
Décision QPC du 12 septembre 2024 du Conseil Constitutionnel
Question Prioritaire de Constitutionnalité (QPC) soulevée par le Conseil national de l’ordre des médecins (CNOM) contre l’arrêté du 26 octobre 2023 du ministre de la santé fixant les règles de gestion des droits d’accès au dossier médical partagé (DMP) des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique.
Le Conseil constitutionnel a jugé l’accès au DMP par des personnes n’ayant pas la qualité de professionnels de santé conforme à la Constitution.
Le Conseil constitutionnel considère que : - en ouvrant la possibilité d’accéder à certaines informations d’un DMP aux professionnels qui participent à la prise en charge d’une personne, le législateur a entendu améliorer la coordination des soins. Ce faisant, il a poursuivi l’objectif de valeur constitutionnelle de protection de la santé ;
- les dispositions contestées n’autorisent l’accès au DMP qu’à des professionnels participant à la prise en charge d’une personne « en application des articles L. 1110-4 et L. 1110-12 » ;
- le professionnel ne peut accéder au DMP que « sous réserve du consentement de la personne préalablement informée » ;
- le fait pour un professionnel d’accéder au DMP d’une personne ou de révéler une information en méconnaissance du secret médical est susceptible de donner lieu à des sanctions pénales. |
| RGPD non cité | |
|  |
| Document en français |
| « Système d’information pour une maison de santé »
Séminaire National des Maisons et Pôles de Santé, 30/1/2010 | |
| |
| Document en français |
| Matrice d’habilitations 2012 des professionnels de santé (pour le DMP ?) | |
| |
| Document en français |
| Guide pratique
Gestion des habilitations d’accès au SI
PGSSI-S, ASIP mai 2016 | |
| |
| Document en français |
| La donnée comme infrastructure essentielle
Rapport au premier ministre sur la donnée dans les administrations 2016-2017
Administrateur général des données (AGD), le 10 avril 2018 | |
| |
| Document en français |
| Instruction interministérielle SG/DSSIS/SGMJ/2016/217 du 4 juillet 2016 relative à la fourniture de cartes à puce « agents extérieurs justice » aux professionnels de santé et personnels administratifs habilités à accéder au système d’information du ministère de la justice
Fondement juridique de GENESIS ? | |
| |
| Document en français |
| IAF MD4:2018
Exigences pour l’utilisation des Technologies de l’information et de la communication (TIC) dans les processus d’audit/d’évaluation | |
| |
| Document en français |
| Note du directeur et du président de la CME de l’APHP sur les accès injustifiés à des dossiers médicaux à l’aide d’Orbis. Décision de procéder à un audit.
7/3/2019 | |
| |
| Document en français |
| Responsabilité du médecin coordonnateur d’HAD lorsqu’il retranscrit une prescription
Réponse du Conseil National de l’Ordre des Médecins le 21/12/2017 | |
| |
| Document en français |
| Usage des médicaments biologiquement similaires
Académie nationale de Pharmacie, le 22 juin 2021 | |
| |
| Document en français |
| Recommandations sur Mon espace santé du comité de citoyens
DNS, 28 novembre 2021 | |
| |
| Document en français |
| Guide d’appui à l’enregistrement des professionnels à rôle dans le portail RPPS+
Direction Territoires et Expérience Clients
ANS, 10/1/2023 | |
| |
| Document en français |
| Délibération CNIL du 8 septembre 2022 portant avis sur un projet de décret relatif aux moyens d’identification électronique interrégimes mentionnés aux articles L. 161-31 et L. 161-33 du code de la sécurité sociale | |
| |
| Document en français |
| Arrêté du 26 octobre 2023 portant approbation du référentiel de sécurité et d’interopérabilité relatif à l’accès des professionnels au dossier médical partagé (DMP) | |
| |
| Document en français |
| Arrêté du 26 octobre 2023 fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique
Nouvelle version de la matrice d’habilitation du DMP | |
| Prescripteur
Utilisateur (Lien non faisable !) d’un LAP (Lien non faisable !) à qui l’établissement de santé a accordé le droit de valider une prescription. | | |
| Protocole de prescription
Fonctionnalité permettant à l’utilisateur (Lien non faisable !) d’économiser certaines opérations de saisie de prescription et favorisant la standardisation des soins. | | |
| Utilisateur
Toute personne à qui est accordé le droit d’utiliser le logiciel de soins, avec ou sans droit de valider une prescription (pour un LAP (Lien non faisable !), voir prescripteur (Lien non faisable !)) ou une dispensation (pour un LAD (Lien non faisable !)). | | |
| Exigences fondamentales de la sécurité informatique :
Disponibilité : les données sont accessibles et utilisables au moment voulu par les personnes autorisées
Intégrité : les données ne doivent subir aucune autre modification que celles prévues et planifiées par leur propriétaire légal
Confidentialité : les données ne sont accessibles ou ne peuvent être diffusées de façon intelligible qu’aux personnes autorisées
Preuve ou traçabilité : les accès et tentatives d’accès aux données sont tracés. Les traces sont exploitables
Non-répudiation de l’information : garantie qu’aucun des correspondants ne pourra nier un échange de données | | |
| Guides de sécurité informatique à l’usage des professionnels ou des établissements de santé | | |
| WikiPE comporte un anti-injecteur SQL, no-SQL et anti attaque XSS. Seules certaines chaines de caractères, entrées à titre de paramètre par les administrateurs informatiques ne sont pas contrôlées par cet anti-injecteur. | | |
| Il semble qu’il y a souvent confusion entre « traitement » et « prescription ». Le fait de permettre à une infirmière, un pharmacien, un étudiant de reporter dans le dossier médical ce qu’il croit savoir du traitement d’un patient n’est pas juridiquement une prescription. C’est le devoir de chaque acteur du soin de contribuer au recueil des informations utiles aux soins dans le dossier à disposition de l’équipe et il ne s’agit en rien d’une délégation ou d’un transfert de compétence. Ce que chacun écrit dans le dossier est accompagné de la date, de l’auteur et, en bonne pratique, d’une appréciation de confiance de l’information. La certification HAS des LAP hospitaliers exige que ces logiciels disposent de cette fonctionnalité.
Ni la loi ni les bonnes pratiques ne restreignent la possibilité fonctionnelle d’un logiciel à réutiliser les éléments de traitement notés dans le dossier médical pour élaborer une prescription. Cependant, comme il s’agit d’une prescription, elle doit être validée par une personne identifiée qui a les droits de l’établir. Le prescripteur doit authentifier par sa signature, papier ou électronique, pour valider la prescription (à l’hôpital çà signifie la communiquer au pharmacien et aux infirmières cf fin de la saisie de la prescription (Lien non faisable !)).
La possibilité de « présaisir » une prescription pour faciliter le travail du prescripteur qui la validera :
- est une pratique fréquente avec différentes modalités fonctionnelle de « protocoles »
- est une pratique fréquente en chirurgie ambulatoire
- est possible dans un LAP certifié selon le référentiel HAS. Nous demandons dans la certification des LAP hospitaliers que les contrôles de sécurité soient effectués à la validation d’une prescription quelles qu’en soient les modalités de saisie (protocole, reprise d’un traitement antérieur, etc...) et quelles que soient les outrepassements validés par d’éventuels autres contributeurs à l’élaboration de la prescription afin que le prescripteur assume pleinement sa responsabilité.
Organiser la saisie des traitements de ville dans les dossiers médicaux par des étudiants pharmaciens est reconnu comme une procédure qui facilite la réconciliation (étude du CH de Lunéville). | | |
| Analyseur de prescription
Utilisateur (Lien non faisable !) d’un LAD (Lien non faisable !) à qui l’établissement de santé a accordé le droit de valider l’analyse pharmaceutique des prescriptions. | Le fait d’être analyseur n’empêche pas d’être paramétreur (Lien non faisable !) et délivreur (Lien non faisable !). | |
| Délivreur
Utilisateur (Lien non faisable !) d’un LAD (Lien non faisable !) à qui l’établissement de santé a accordé le droit de valider l’acte de délivrance de produits de santé. | | |
| Paramétreur de livret thérapeutique
Utilisateur (Lien non faisable !) d’un LAD (Lien non faisable !) à qui l’établissement de santé a accordé le droit d’enregistrer, de modifier et de valider le contenu du livret thérapeutique (Lien non faisable !). | | |
| Il est nécessaire que les différents acteurs qui concourent aux soins du patient, le patient et éventuellement ses aidants puissent visualiser l’agenda des soins du patient. Les droits de modification des interventions doivent être associés aux acteurs respectifs (système collaboratif). Les informations associées à ces interventions doivent permettre la coordination entre les différents acteurs | | |
