La plateforme ehealth: concept et état d'avancement

Transcription

1 La plateforme ehealth: concept et état d'avancement Administrateur général Banque Carrefour de la Sécurité Sociale Chaussée Saint-Pierre 375 B-1040 Bruxelles Site web BCSS: Site web personnel:

2 comment But de la plateforme ehealth sur base d une prestation de services et d'un échange d informations mutuels électroniques bien organisés entre tous les acteurs des soins de santé tout en offrant les garanties utiles au niveau de la sécurité de l information et de la protection de la vie privée quoi optimaliser la qualité et la continuité des prestations de soins de santé optimaliser la sécurité du patient simplifier les formalités administratives pour tous les acteurs des soins de santé offrir un soutien optimal à la politique des soins de santé 2 Le 25 février 2008

3 Qu'est-ce que la plateforme ne fait pas? apporter des modifications à la répartition des tâches concrète entre les différents acteurs des soins de santé enregistrer des données à caractère personnel de manière centralisée monopoliser la prestation de services électronique aux utilisateurs finaux réaliser soi-même des études soutenir soi-même la politique dans le domaine des soins de santé être dirigée sur la base de la technologie plutôt que compte tenu des objectifs contenus dans la vision 3 Le 25 février 2008

4 Fondements prévus plateforme de collaboration pour l échange électronique sécurisé de données relatives aux patients, aux soins donnés et aux résultats des soins donnés et de prescriptions de soins électroniques entre tous les acteurs des soins de santé réseau services de base normes, standards, spécifications fonctionnelles et techniques et architecture de base en matière de TIC canaux d'ouverture adaptés à l utilisateur Comité sectoriel de la Commission de la protection de la vie privée (CPVP) cadre juridique adapté la plateforme ehealth comme organisation 4 Le 25 février 2008

5 Plateforme et standards de collaboration utilisation de l infrastructure réseau existante (Internet, extranet sécurité sociale, FedMAN, ) avec cryptage end-to-end des informations de contenu (concept de réseaux privés virtuels (VPN)) services de base offerts par la plateforme ehealth gestion des utilisateurs et des accès orchestration des processus répertoire des références logging codification et dépersonnalisation time stamping environnement portail avec notamment un système de content management et un moteur de recherche boîte aux lettres électronique personnelle pour chaque prestataire de soins 5 Le 25 février 2008

6 Plateforme et standards de collaboration un maximum d échanges à l aide de messages électroniques structurés d application à application un maximum d échanges sur base de standards ouverts ou, à tout le moins, de spécifications ouvertes 6 Le 25 février 2008

7 Répertoire des références contenu indication, à la demande du patient identifié à l aide de son numéro d identification du patient, des endroits où se trouvent les différents types d informations relatives au patient, aux soins donnés et aux résultats des soins donnés d une part, table avec relations de soins fixes actuelles entre les prestataires de soins et leurs patients, la nature de la relation, et les dates de début et de fin de la relation d'autre part, table contenant, outre la relation de soins fixe, les endroits de disponibilité d'informations relatives aux différents patients éventuellement via un système graduel (répertoire des références général renvoie à des répertoires des références spécifiques par groupe de prestataires de soins ou par établissement de soins) pas de données de contenu!!! 7 Le 25 février 2008

8 fonctions Répertoire des références contrôle préventif quant à la légitimé de l accès aux informations relatives à un patient donné routage des demandes d informations vers les endroits où se trouvent les informations relatives au patient concerné possibilité de communication automatique d informations à certains prestataires de soins 8 Le 25 février 2008

9 Codification et dépersonnalisation la plateforme ehealth est chargée en tant que tierce partie de confiance de codifier et de dépersonnaliser les informations de mettre des données codées ou anonymes à la disposition des acteurs des soins de santé, des responsables politiques et des chercheurs contrôle par le Comité sectoriel de la conformité des méthodes de codification et de dépersonnalisation avec la législation en matière de protection de la vie privée la plateforme ehealth même ne soutient ni la politique, ni ne réalise des études!!! 9 Le 25 février 2008

10 Canaux d ouverture adaptés aux utilisateurs différents supports ordinateur (portable) PDA GSM pour chaque groupe cible, organisé de préférence par les prestataires actuels de ce groupe cible (pas de monopole de la plateforme ehealth!) pour chaque groupe cible, au moins une application gratuite, généralement accessible, en vue de l'ouverture intégrée des informations, développée de manière résiduaire par la plateforme ehealth sous forme d'application web si nécessaire une ouverture intégrée maximale des informations que l'utilisateur peut recevoir, indépendamment des sources d informations 10 Le 25 février 2008

11 Comité sectoriel composé de représentants de la CPVP spécialistes indépendants en matière de soins de santé désignés par la Chambre des représentants tâches accorder des autorisations pour l échange (électronique) de données à caractère personnel relatives à la santé, dans les cas autres que ceux autorisés par la loi déterminer l organisation et les directives en matière de sécurité de l information lors du traitement de données à caractère personnel relatives à la santé formuler des avis et des recommandations en matière de sécurité de l information lors du traitement de données à caractère personnel relatives à la santé traiter les plaintes en matière d infraction à la sécurité de l information lors du traitement de données à caractère personnel relatives à la santé 11 Le 25 février 2008

12 Cadre juridique adapté création de la plateforme ehealth en tant qu'organisation, avec détermination de la structure juridique, des missions, des organes de gestion et de concertation et de leur composition possibilité resp. obligation d utiliser le numéro d identification du patient force probante des prescriptions électroniques et des échanges de données électroniques adaptation de la réglementation spécifique en fonction des projets à réaliser 12 Le 25 février 2008

13 Plateforme ehealth comme organisation missions développer une vision et une stratégie en matière de prestation de services et d'échange d informations électroniques dans les soins de santé, tout en respectant la protection de la vie privée fixer des normes et standards fonctionnels et techniques en matière de TIC pour la prestation de services et d'échange d informations électroniques dans les soins de santé vérifier si les logiciels de gestion des dossiers électroniques de patients répondent à ces normes et standards concevoir, développer et gérer une plateforme de collaboration pour l échange électronique de données sécurisé, qui est assortie des services de base connexes (voir supra) 13 Le 25 février 2008

14 Plateforme ehealth comme organisation missions s accorder sur une répartition des tâches en ce qui concerne la collecte, la validation, l enregistrement et la mise à disposition de données échangées au moyen de la plateforme de collaboration et sur les normes de qualité en la matière promouvoir et coordonner la réalisation de programmes et de projets visant à exécuter la vision et la stratégie et qui utilisent la plateforme de collaboration et/ou les services connexes coordonner les aspects TIC de cet échange de données dans le cadre des dossiers électroniques de patients et des prescriptions médicales électroniques intervenir comme tierce partie de confiance lors de la codification et dépersonnalisation de données à caractère personnel relatives à la santé 14 Le 25 février 2008

15 Plateforme ehealth comme organisation missions être le moteur des changements nécessaires en vue de l'exécution de la vision et de la stratégie organiser la collaboration avec d autres instances publiques chargées de la coordination de la prestation de services électronique 15 Le 25 février 2008

16 Plateforme ehealth comme organisation organes Comité de gestion prestataires de soins et établissements de soins Ordres des médecins et des pharmaciens mutualités services publics chargés de compétences en matière de soins de santé: SPF Santé publique, INAMI, SPF Sécurité sociale, Centre fédéral d'expertise des soins de santé, Agence fédérale des médicaments et des produits de santé représentants des Ministres de la Santé publique, des Affaires sociales, de l'informatisation et du Budget ayant voix consultative, des représentants de la Banque Carrefour de la sécurité sociale Comité de concertation avec groupes de travail: tous les principaux gestionnaires 16 Le 25 février 2008

17 Etat d avancement plateforme ehealth existante services de base existants sources authentiques validées actuelles services à valeur ajoutée actuels et en cours de développement législation existante 17 Le 25 février 2008

18 La plateforme ehealth PortaHealth SVA SVA SVA Site SPF SS SVA SVA SVA Patients et prestataires de soins Portal ehealth MyCareNet SVA SVA SVA Site INAMI SVA SVA SVA Portail SS SVA SVA SVA Utilisateurs Plate- forme ehealth Plateforme avec services de base SAV SAV SAV SAV SAV SAV Fournisseurs 18 Le 25 février 2008

19 service de base La plateforme ehealth un service développé et mis à la disposition par la plateforme ehealth, qui peut être utilisé par l offreur d un service à valeur ajoutée lors du développement et de l offre d un service à valeur ajoutée service à valeur ajoutée (SVA) un service mis à la disposition des patients et/ou prestataires de soins l instance chargée du développement et de la mise à disposition d un service à valeur ajoutée peut utiliser à cet effet les services de base offerts par la plateforme ehealth 19 Le 25 février 2008

20 La plateforme ehealth source authentique validée (SAV) une banque de données contenant des informations auxquelles la plateforme ehealth fait appel le gestionnaire de la banque de données est responsable de la disponibilité et de (l organisation de) la qualité des informations mises à la disposition 20 Le 25 février 2008

21 Services de base déjà disponibles réseau, basé sur l infrastructure existante (Internet, Carenet, extranet sécurité sociale, FedMAN, ) environnement portail ( avec notamment système de content management moteur de recherche boîte aux lettres électronique personnelle pour chaque prestataire de soins gestion intégrée des utilisateurs et des accès orchestration des processus gestion de loggings en cours de développement codification et dépersonnalisation time stamping 21 Le 25 février 2008

22 Portail

23 Portail

24 Gestion des utilisateurs et des accès but garantir que seuls les prestataires de soins / établissements de soins autorisés aient accès aux données à caractère personnel auxquelles ils peuvent avoir accès conformément à la loi ou aux autorisations du Comité sectoriel relatives aux patients dont les informations personnelles concernées leur sont nécessaires dans le cadre des prestations de soins conditions gestion des autorisations d accès avec indication de quel prestataire de soins / établissement de soins / application en quelle qualité peut avoir accès dans quelle situation à quels types de données concernant quels patients pour quelle période 24 Le 25 février 2008

25 Gestion des utilisateurs et des accès conditions authentification de l identité du prestataire de soins, par exemple au moyen de sa carte d identité électronique vérification en ligne de la qualité du prestataire de soins par une consultation électronique de la (des) banque(s) de données authentique(s) des prestataires de soins vérification en ligne des mandats de l utilisateur autorisé à intervenir au nom d un prestataire de soins / établissement de soins par une consultation électronique de la (des) banque(s) de données authentique(s) des mandats authentification de l identité du patient au moyen de sa carte d identité électronique ou de sa carte SIS, sauf si une relation de soins fixe est enregistrée entre le prestataire de soins / l institution de soins et le patient (voir supra, répertoire des références) dans des cas d urgence 25 Le 25 février 2008

26 Gestion des utilisateurs et des accès organisation élaborée l'autorisation d'utiliser un service à valeur ajoutée est accordée par l'offreur du service, si nécessaire moyennant une autorisation du Comité sectoriel la conformité d une demande d accès concrète avec les autorisations d accès est validée à titre préventif par l organisme indépendant gérant la plateforme de collaboration tous les accès font l objet d une prise de trace (logging) électronique au niveau de l utilisateur afin de pouvoir vérifier par la suite, en cas de plaintes, si l accès était légitime (uniquement qui-quoi-quand, pas de contenu) l accès aux loggings est protégé de manière stricte 26 Le 25 février 2008

27 Gestion des utilisateurs et des accès organisation élaborée l'authentification de l'identité intervient en fonction du niveau de sécurité requis à l'aide de la carte d identité électronique un numéro utilisateur, un mot de passe et un token citoyen un numéro utilisateur et un mot de passe la vérification des qualités et mandats intervient par un accès aux sources authentiques validées le tout est développé sur base d un modèle générique de policy enforcement 27 Le 25 février 2008

28 Policy Enforcement Model Utilisateur Action sur application REFUSÉE Action sur application Policy Application (PEP) Demande de décision Réponse de décision Action sur application AUTORISÉE Application Recherche Policies Policy Décision (PDP) Information Question / Réponse Information Question / Réponse Gestion de l autorisation Policy Administration Policy Information Policy Information (PAP) (PIP) (PIP) Gestionnaire Policy Source authentique Source authentique repository 28 Le 25 février 2008

29 Policy Enforcement Point (PEP) intercepter la demande d autorisation avec toutes les informations disponibles concernant l utilisateur, l action demandée, les ressources et l environnement transmettre la demande d autorisation au Policy Decision Point (PDP) et exiger une décision d autorisation donner accès à l application et fournir les justificatifs pertinents Utilisateur Action sur application REFUSÉE Action sur application Policy Application (PEP) Demande de décision Réponse de décision Action sur application AUTORISÉE Application Policy Décision (PDP) 29 Le 25 février 2008

30 Policy Decision Point (PDP) sur la base de la demande d autorisation reçue, rechercher la policy d autorisation adéquate dans les Policy Administration Points (PAP) évaluer la policy et, au besoin, rechercher les informations pertinentes dans les Policy Information Points (PIP) prendre la décision d autorisation (permit / deny / not applicable) et la communiquer au PEP Policy Application (PEP) Recherche Policies Demande de décision Réponse de décision Policy Décision (PDP) Information Question / Réponse Information Question/ Réponse Policy Administration (PAP) Policy Information (PIP) Policy Information (PIP) 30 Le 25 février 2008

31 Policy Administration Point (PAP) environnement de sauvegarde et de gestion des policies d autorisation par la (les) personne(s) compétente(s) désignée(s) par le responsable de l application mise à la disposition des policies d autorisation pour le PDP Gestion de l autorisation PAP Recherche Policies PDP Gestionnaire Policy repository 31 Le 25 février 2008

32 Policy Information Point (PIP) mise à la disposition du PDP de l information pour l évaluation des policies d autorisation (sources authentiques avec caractéristiques, mandats, ) PDP Information Question/ Réponse PIP 1 Information Question/ Réponse PIP 2 Source authentique Source authentique 32 Le 25 février 2008

33 33 Le 25 février 2008 APPLICATIONS Authorisation Authentication PEP Role Mapper USER PAP Kephas Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB UMAF PIP Attribute Provider DB XYZ WebApp XYZ APPLICATIONS Authorisation Authen - tication PEP Role Mapper USER WebApp XYZ PIP Attribute Provider PAP Kephas Role Mapper DB PDP Role Provider Role Provider DB Gestion SAV PIP Attribute Provider DB XYZ PIP Attribute Provider DB Huissier de justice PIP Attribute Provider DB Mandats Plateforme ehealth APPLICATIONS Authorisation Authen - tication PEP Role Mapper USER PAP Kephas Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB INAMI PIP Attribute Provider DB XYZ WebApp XYZ Gestion SAV PIP Attribute Provider DB Mandats Secteur social (BCSS) SPF hors social (Fedict) Gestion SAV DB XYZ Architecture

34 Principe de cercles de confiance but éviter une centralisation inutile éviter des menaces inutiles pour la protection de la vie privée éviter des contrôles identiques et des enregistrements multiples de loggings méthode: répartition des tâches entre les instances concernées par la prestation de services électroniques avec des accords précis en ce qui concerne: quelle instance réalise quelles authentifications, quelles vérifications et quels contrôles à l aide de quels moyens et qui en est responsable la manière selon laquelle les résultats des authentifications, des vérifications et des contrôles réalisés sont communiqués par la voie électronique, d'une manière sécurisée, entre les instances concernées quelle instance conserve quels loggings comment veiller à ce qu'en cas d'investigation, à l initiative d un organisme de contrôle ou à l'occasion d'une plainte, un traçage complet puisse avoir lieu: à savoir quelle personne physique a utilisé quel service ou quelle transaction concernant quel citoyen ou quelle entreprise, à quel moment, par le biais de quel canal et pour quelles finalités 34 Le 25 février 2008

35 Sources authentiques validées cadastre des prestataires de soins gestionnaire: SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement contient des informations relatives au diplôme et à la spécialité d un prestataire de soins identifié à l aide de son numéro d identification de la sécurité sociale (NISS) banque de données contenant les agréations de l INAMI gestionnaire: INAMI contient des informations relatives à l agréation par l INAMI d un prestataire de soins identifié à l aide de son NISS banque de données des personnes mandatées à intervenir au nom d un établissement de soins gestionnaire: ONSS (partie gestion des utilisateurs entreprises) contient les informations suivantes: quelles personnes identifiées à l aide de leur NISS sont mandatées à utiliser quelles applications au nom de l établissement de soins 35 Le 25 février 2008

36 en production Services à valeur ajoutée alimentation et consultation du Registre du cancer Medattest en phase de test déclaration de naissance électronique (ebirth) facturation tiers payant en cours de développement Medic-e appui prescription de soins électronique dans les hôpitaux appui dépersonnalisation et codification pour INAMI et AIM 36 Le 25 février 2008

37 Alimentation et consultation du Registre cancer offreur: Fondation Registre du cancer utilisateurs: oncologues au sein des établissements de soins et des laboratoires fonctionnalité: introduire des informations dans le Registre du cancer par la voie électronique et avoir accès aux informations introduites services de base utilisés: identification et authentification de l identité de l utilisateur (eid) vérification de la qualité du médecin avec agréation INAMI boîte aux lettres électronique (publication de documents) logging 37 Le 25 février 2008

38 Medattest offreur: INAMI utilisateurs: médecins, dentistes, kinésithérapeutes, logopédistes, orthopédistes, établissements de soins et leurs mandataires fonctionnalité: commander des prescriptions de soins en mode en ligne services de base utilisés identification et authentification de l identité de l utilisateur (eid ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité des utilisateurs vérification du mandat logging 38 Le 25 février 2008

39 Déclaration de naissance électronique offreurs: Fedict, Registre national et Banque Carrefour de la sécurité sociale utilisateurs: médecins, sages-femmes et infirmiers dans les hôpitaux fonctionnalité: déclaration électronique de la naissance d'un enfant services de base utilisés portail identification et authentification de l identité de l utilisateur (eid ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité des utilisateurs vérification du mandat logging 39 Le 25 février 2008

40 Facturation tiers payant offreur: Collège intermutualiste national utilisateurs: infirmiers, leurs groupements et mandataires fonctionnalité: transmettre les factures tiers payant par la voie électronique aux mutualités services de base utilisés identification et authentification de l identité de l utilisateur (eid ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité de l infirmier avec agréation INAMI vérification du mandat boîte aux lettres électronique (publication de documents) logging 40 Le 25 février 2008

41 Medic-e offreur: SPF sécurité sociale utilisateurs: médecins évaluant les personnes handicapées fonctionnalité: introduire l évaluation des personnes handicapées par la voie électronique dans le système informatique du SPF Sécurité sociale services de base utilisés identification et authentification de l identité de l utilisateur (eid ou numéro utilisateur-mot de passe-token citoyen) vérification de la qualité du médecin avec agréation INAMI boîte aux lettres électronique (publication de documents) logging 41 Le 25 février 2008

42 Prescription électronique établissements soins examen des fonctionnalités requises fonctionnalités avant que la prescription puisse être traitée authentification de l identité du prescripteur vérification de la qualité du prescripteur système garantissant que la prescription ne peut plus être modifiée de manière imperceptible après application des méthodes garantissant l intégrité et la datation électronique authentification de l identité, vérification de la qualité du prescripteur, garantie de l intégrité et la datation électronique doivent avoir lieu pour toute prescription individuelle le temps nécessaire à l authentification de l identité, à la vérification de la qualité et à la garantie de l intégrité ne peut être supérieure à ¼ seconde par prescription un même prescripteur doit pouvoir switcher sans frais entre plusieurs endroits à partir desquels il souhaite rédiger une prescription validation locale selon laquelle la prescription n a pas été modifiée suite à l application de la méthode visant à garantir l intégrité 42 Le 25 février 2008

43 Prescription électronique établissements soins examen des fonctionnalités requises fonctionnalités pendant traitement de la prescription la datation électronique doit être demandée immédiatement après l application de la méthode visant à garantir l intégrité et avoir lieu dans un délai de 30 secondes au maximum après la demande exigences d ordre organisationnel rapidité de remplacement d un moyen d authentification si inutilisable traçabilité de celui qui a réalisé quelle opération et à quel moment concernant la création de la prescription (conservée pendant une période définie) traçabilité du contenu et du moment de chaque demande et traitement d une demande de révocation d un moyen d authentification point d attention spécifique il y a lieu d éviter que les établissements de soins ne soient confrontés pour divers types de processus à différents systèmes d authentification de l identité, de vérification de la qualité, de garantie de l intégrité de documents, de datation électronique, 43 Le 25 février 2008

44 Prescription électronique établissements soins proposition de solution l authentification de l identité et la vérification de la qualité ont lieu au niveau local et interviennent au minimum à l aide d un user-id, un mot de passe [et d un élément en possession], à condition que tout prescripteur signe un document selon lequel tout ce qui est, sur le plan de l identité et des qualités, authentifié à l aide de son user-id, son mot de passe [et l élément en sa possession] tombe sous sa responsabilité les prescriptions font l objet d un hachage les résultats du hachage (donc pas le contenu même de la prescription!) font l objet d un timestamp par la plateforme ehealth des règles organisationnelles précises en matière de gestion des userids, des mots de passe [et des éléments en possession] sont versées dans un arrêté royal en exécution de l article 21 de l AR n 78; celles-ci sont basées sur les résultats de Elodis une réglementation fixant les conditions dans lesquelles des prescriptions complémentaires sont possibles, est en cours d élaboration 44 Le 25 février 2008

45 Nouvelles demandes d'appui SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement révision de l'application en vue de donner son consentement pour un don d'organe (Orgadon) informations sur des projets thérapeutiques traçage du sang Agence fédérale des médicaments et des produits de santé application pour les comités éthiques consortium eprescription (pharmaciens, médecins et mutualités) prescription électronique dans le secteur ambulatoire Agence flamande soins et santé VESTA: plateforme d'échange de données entre l'agence et ses services agréés 45 Le 25 février 2008

46 Législation existante article 4 de la loi du 27 décembre 2006 portant des dispositions diverses Un service de l'etat à gestion séparée, tel que visé à l'article 140 des lois sur la comptabilité de l'etat, coordonnées le 17 juillet 1991, dénommé "Be-Health" est créé au sein du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement en vue de la gestion de la plateforme électronique de services relative à l'échange de données de soins de santé. Le Roi détermine, par arrêté délibéré en Conseil des ministres, les missions et les modalités de gestion et d'exploitation de ce Service de l'etat à gestion séparée. 46 Le 25 février 2008

47 Facteurs de succès critiques collaboration entre tous les acteurs des soins de santé, basée sur une répartition des tâches plutôt que sur une centralisation des tâches confiance de tous les gestionnaires en ce qui concerne le maintien de l autonomie nécessaire et de la sécurité du système d abord développement de la plateforme d échange et création des organes nécessaires (plateforme ehealth en tant qu'organisation, plateforme de collaboration, Comité sectoriel, ) et ensuite élaboration sur le plan du contenu au sein de ces organes quick wins en combinaison avec une vision à long terme cadre légal 47 Le 25 février 2008