Le Dossier Médical Personnel et la sécurité

Transcription

1 FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs dans un outil emblématique de la dématérialisation des données de santé au service de l amélioration de la qualité et de la coordination des soins. A ce titre, la sécurité est prise en compte dans toutes les phases du cycle de vie du système. Les orientations retenues pour sécuriser les services du DMP sont fortement conditionnées par le respect des droits du patient qui choisit les professionnels de santé autorisés à consulter son dossier. Les mesures de sécurité mises en œuvre ne doivent ni représenter une gêne pour la prise en charge des patients par les professionnels de santé ni entraîner de perte de temps voire d éventuelle «perte de chance». Il y a donc un arbitrage nécessaire à effectuer entre «facilité d accès au DMP», dans un objectif de gain de chance et «sécurisation» de l accès aux données de santé personnelles.

2 Comment assure-t-on la sécurité du système d information du DMP? La sécurité du DMP repose sur : la mise en œuvre de contrôles a priori : Tous les utilisateurs (PS, ES et patient) sont authentifiés de manière forte pour accéder au SI DMP. Le contrôle d accès aux informations qui est appliqué laisse la possibilité à un professionnel de santé d accéder sous son entière responsabilité aux données de santé des patients qu il prend en charge dans la limite de l autorisation d accès donnée par le patient et des documents autorisés pour sa profession (médecin, pharmacien, ). En situation d urgence, un professionnel de santé non préalablement autorisé par un patient peut accéder aux données de ce dernier en signalant qu il accède en mode «bris de glace». La matrice d habilitation restreint l accès aux contenus du DMP en fonction de la profession du PS. Le contrôle a posteriori des actions des utilisateurs : Le contrôle des usages du DMP (consultation et alimentation) est fondé sur une traçabilité et une imputabilité totales des actions effectuées par l ensemble des utilisateurs. Le patient peut accéder à la liste des actions effectuées par des PS sur son DMP. Les mésusages sont pénalisés. Ces principes de dissuasion sont rendus possibles par le cadre légal et réglementaire particulièrement strict dans lequel s inscrit le service DMP. L entrée en service du DMP favorise simultanément la dématérialisation massive et le partage des données de santé. Elle entraîne une évolution significative de la nature des risques relatifs à la sécurité de l information. La dématérialisation n implique pas à proprement parler l apparition de nouveaux risques mais une évolution des menaces et des vulnérabilités potentielles portant sur les données. Face à ces risques, le DMP intègre des dispositifs de sécurité assurant la disponibilité et l intégrité du système, ainsi que la protection en intégrité et en confidentialité des données de santé à caractère personnel hébergées au sein du système. Ces dispositifs mettent en œuvre des principes, des protocoles et des mécanismes de sécurité conformes à l état de l art des standards internationaux. Ils sont sous surveillance permanente et font l objet de mises à jour régulières pour répondre à l évolution des menaces. 2

3 Qu est-ce que la carte de professionnel de santé (CPS)? La carte de professionnel de santé, ou carte CPS, est la carte d identité électronique des professionnels du secteur de la santé inscrits par leurs ordres au sein des annuaires de référence (RPPS 1, RASS 2 ). Elle constitue le maillon final d une chaîne de confiance qui permet à son titulaire d attester de son identité professionnelle. Comme pour une carte bancaire, son usage est lié à la saisie d un code confidentiel propre à son porteur. La CPS est délivrée par l ASIP Santé qui est l autorité de certification désignée du secteur de la santé. La carte contient notamment l'identifiant du PS (numéro RPPS pour tous en cible) et 2 certificats (un certificat d'authentification et un certificat de signature). Depuis février 2011, une nouvelle génération de carte de professionnel de santé est délivrée de façon systématique à tout professionnel de santé (libéral et salarié), inscrit au tableau de son Ordre professionnel ou ayant été enregistré en ARS pour les autres professions. La nouvelle organisation qui découle de la mise en place du RPPS se traduit dans les faits par une simplification administrative : un guichet unique est chargé de l enregistrement de toutes les informations concernant les professionnels. L ordre professionnel est le guichet principal pour tous les professionnels de santé civils, quel que soit leur mode (libéral ou salarié) et leurs lieux d exercice (cabinet, établissement). Cette simplification installe une nouvelle procédure de distribution des cartes, formalisant et clarifiant les rôles respectifs des autorités d enregistrement et de l autorité de certification. Les ordres professionnels se trouvent désormais fortement impliqués en tant qu autorités d enregistrement de l identité et des qualifications des professionnels de santé. Quels sont les dispositifs de sécurité mis en place pour contrôler l accès du Professionnel de Santé ou de l Etablissement de Santé au DMP? Cinq dispositifs complémentaires permettent de contrôler conjointement l accès d un professionnel de santé à un DMP. 1. Une fonction du système détermine la liste des actions possibles sur les DMP, pour chaque cas d utilisation du système par un PS. Ces possibilités d accès dépendent des 1 Répertoire Partagé des Professionnels de Santé 2 Référentiel des Acteurs Santé Sociaux 3

4 moyens et de la procédure d identification et d authentification utilisés par le PS lors de son accès au système DMP. 2. Une fonction du système précise les actions que peut effectuer le PS sur un DMP donné, selon l activité de ce PS ou son rôle vis-à-vis du patient concerné. 3. Une fonction du système prend en compte les restrictions d accès que le patient a éventuellement ajoutées sur son DMP. 4. Une fonction du système veille à ce que le PS ne consulte que des documents liés à sa profession (matrice d habilitation des professionnels de santé). 5. Une fonction du système établit et conserve la trace de toutes les actions des PS sur les DMP. Chaque utilisateur peut consulter les traces de ses propres actions. Chaque patient peut consulter les traces des accès à son dossier. 1 - Authentification du PS lors de l accès au système 2 - Contrôle du rôle du PS sur le dossier Système DMP Création, alimentation ou gestion administrative du DMP du patient Professionnel de santé (PS) Carte de professionnel de santé (CPS) OU Possibilités d'accès dépendant des moyens utilisés par le PS pour accéder au système et pour s'authentifier Possibilités d'action sur le dossier selon le contexte d utilisation (médecin traitant ou non, normal ou urgence), avec les restrictions souhaitées par le patient 3 - Contrôle de l habilitation du PS à consulter certains types de documents 4 - Contrôle du masquage de document pour le PS Consultation des documents du DMP du patient Certificat de personne morale Droits à consulter certains types de document en fonction de la profession de santé du PS, fixés par décret Impossibilité de consulter les documents que le patient a masqués pour ce PS 5 Enregistrement des traces des actions du PS Traces pouvant être consultées par le PS ou par le patient La sécurité d un professionnel de santé aux DMP La sécurité d accès d un professionnel de santé aux DMP Pour un établissement de santé et à la demande de son directeur, l ASIP délivre des certificats de personne morale (ou certificats d établissement) et des cartes de professionnels d établissement (CPE) permettant la création et l alimentation du DMP. Le tableau ci-dessous présente les modes d authentification préalables aux actions de création, alimentation et consultation du DMP. 4

5 Création Alimentation Consultation Fermeture Authentification directe CPS CPE CPS CPS CPS Authentification indirecte Certificat logiciel - personne morale Certificat logiciel - personne morale Non Accessible Quel est le dispositif de sécurité mis en place pour contrôler l accès du patient au DMP? Le DMP d un patient est créé par un professionnel de santé en présence du patient doté de sa carte Vitale indispensable pour le calcul de son Identifiant National de Santé (INS). A la demande du patient, le PS peut créer l accès internet à son DMP. Il lui remet alors ses «informations de connexion» c est-à-dire l identifiant (généré par le système et non signifiant) et le mot de passe qui permettront au patient de se connecter au portail web patient pour gérer lui-même son DMP. Lors de sa première connexion à son DMP, le patient sera contraint de changer le mot de passe qui lui a été remis par le PS. L accès d un patient au système DMP se déroule en deux étapes. Dans un premier temps, le patient doit fournir son identifiant et son mot de passe de connexion. Dans un second temps, il doit introduire le code d accès à usage unique qu il reçoit par message électronique ou SMS à la suite de la première étape. Après trois échecs successifs, le compte est bloqué durant quinze minutes. Un patient peut renouveler son mot de passe de connexion autant de fois qu il le désire. Comment est assurée la sécurité du DMP dans les établissements de santé? Le DMP ne se substitue pas aux dossiers métiers des professionnels de santé (dossier hospitalier, dossiers de spécialité, etc.). Ce n est pas un «outil de production de soins», mais bien un «outil de partage» dans lequel sont ajoutés des documents produits par les logiciels métiers, lorsque ces documents sont jugés nécessaires à la coordination des soins. Les ES doivent donc toujours protéger les données personnelles de santé de leurs patients au sein de leur Système d Information Hospitalier pour être en conformité avec le décret confidentialité actuellement en vigueur (Décret n du 15 mai 2007) et avec son 5

6 évolution dans le cadre de la PGSSI 3. La sécurité de l utilisation du DMP dans un établissement de santé s inscrit dans le cadre de la Politique de Sécurité du Système d Information de l établissement et reste placée sous la responsabilité du directeur de l établissement. Le Système d Information Hospitalier (SIH) doit être en mesure de calculer l INS, de collecter les documents, les normaliser en produisant un en-tête CDA s ils ne l ont pas déjà, et enfin de les échanger avec le protocole IHE avec le DMP dans le respect des règles définies par l Asip Santé en matière de sécurité et d imputabilité. Pour que les impacts soient minimes sur leur SIH, l Asip Santé encourage vivement les ES à mettre en œuvre des solutions du marché homologuées pour le calcul de l INS et la DMP-compatibilité plutôt que de se lancer dans des développements locaux. Lorsqu un patient demande ou consent à la création de son DMP, le SIH doit calculer son INS à l aide des traits d identité lus dans sa carte Vitale. Cette création peut être organisée en tout lieu et à tout moment (à l accueil de l établissement, au bureau des admissions, en unité de soins) dès lors qu un face à face existe avec le patient et que la lecture de sa carte Vitale est possible. L identité du patient est vérifiée selon les procédures en vigueur dans l établissement. Au sein du périmètre de confiance où se déroule la prise en charge d un patient, l identitovigilance est une obligation. Elle garantit en particulier l association du patient à son dossier. L identito-vigilance doit être présente durant toute la prise en charge du patient et particulièrement lors de l alimentation de son DMP référencé par son INS. Les PS sont responsables de la gestion de leur carte CPS et de toutes les actions sur le DMP effectuées à l aide de cette carte (notamment création, alimentation et consultation de dossier). Les directeurs d établissement sont responsables de la gestion des cartes CPE obtenues pour leurs personnels, des certificats de personne morale et de toutes les actions sur le DMP effectuées à l aide de ces moyens d authentification (notamment création et alimentation de dossier). Comment est assurée la sécurité du DMP au niveau des professionnels libéraux? Les PS libéraux peuvent utiliser deux moyens d accès au DMP : 3 Politique Générale de Sécurité des Systèmes d Information. 6

7 - un poste de travail relié à Internet, muni d un navigateur et d une applet Web PS fournie par le système DMP 4, - un système relié à Internet comportant un logiciel de professionnel de santé ou de gestion de cabinet (LPS) DMP-compatible et référencé par le CNDA pour le calcul de l INS. Les PS libéraux s authentifient au DMP avec leur carte CPS. Le système DMP trace les accès et enregistre toutes les actions des PS sur les DMP auxquels ils accèdent. Au regard du système DMP, les PS libéraux sont responsables de la gestion de leur carte CPS et de toutes les actions sur le DMP effectuées à l aide de cette carte (notamment création, alimentation et consultation de dossier). Le DMP n apporte pas de solution à la gestion des risques liées à la protection locale des données de santé à caractère personnel présentes sur le poste de travail du PS ou sur le système de son cabinet ou de son officine. L ASIP Santé rappelle que les PS sont responsables de la protection en intégrité et en confidentialité de toutes les données personnelles de santé qu ils hébergent sur leur poste de travail ou leur système d information (Décret n du 15 mai 2007). Ils doivent donc veiller à la sécurité des moyens informatiques utilisés. Le portail de la sécurité informatique de l ANSSI contient de nombreuses recommandations concernant la sécurité des systèmes et en particulier celle des postes de travail. ( Comment est assurée la sécurité du DMP au niveau du patient qui possède un PC standard, dont les accès sont peu ou pas protégés? Quid des chevaux de Troie, des risques d agression et d intrusion? Le système DMP contrôle l accès aux dossiers des patients et préserve la confidentialité et l intégrité des données personnelles contenues dans ces dossiers. Il trace les accès et enregistre toutes les actions d un patient sur son DMP. Toutefois, lorsqu un utilisateur accède à des données dans un système en ligne, ces données sont aussi temporairement présentes dans le terminal utilisé (ordinateur PC ou autre). Si le terminal n est pas convenablement protégé, il peut faire l objet d une attaque et héberger 4 Ce moyen d accès au DMP est aussi disponible au sein des Etablissements de Santé. 7

8 un code malveillant capable d exploiter ces données locales ou d agir à la place de l utilisateur. Ce risque est le même pour tout système et pour tout type de données accessibles en ligne, comme les données bancaires ou fiscales par exemple. Les précautions de sécurité sont les mêmes dans tous les cas : accéder au système à partir d un terminal protégé contre les attaques Internet et les codes malveillants, effacer les données confidentielles qu on ne souhaite pas laisser dans le terminal, choisir son mot de passe non trivial, empêcher autrui de connaître ou d utiliser ses informations de connexion : identifiant, mot de passe, code d accès à usage unique. Les patients sont responsables de la protection de leurs informations de connexion, des données personnelles présentes dans le terminal qu ils utilisent, des actions qu ils effectuent dans le DMP. Le portail de la sécurité informatique de l ANSSI contient de nombreuses recommandations concernant la sécurité de l informatique personnelle. ( Que se passe-t-il si un Professionnel de Santé ou un patient alimente le DMP avec un fichier contenant un code malveillant? Les fichiers contenant des codes malveillants détectés par le système DMP seront bloqués et ne pourront pas être hébergés par le système. Dès maintenant vous pouvez utiliser le Dossier Médical Personnel Toutes les informations sur 8