Référentiels pour les SI de santé. Point de situation, évolutions, maintenance

Référentiels pour les SI de santé Point de situation, évolutions, maintenance 8 février 2011 Référence : Référentiels ASIP - JNI Rédacteur : ASIP/PRAS Version : v 1.0.0 Classification : non sensible / public Nombre de pages : 36

Les référentiels publiés dans le RNR Les fondements pour assurer l interopérabilité des systèmes et garantir la confiance des patients et des acteurs de santé sont disponibles, et mis en œuvre au plan national dans le DMP : l identification unique des patients dans la sphère santé [INS] l agrément des hébergeurs de données de santé à caractère personnel [PIAHDS] Le cadre d interopérabilité des systèmes d information de santé [CI-SIS] validé par les instances représentatives des industriels D autres référentiels sont en phase de formalisation : la Politique générale de sécurité des Si de santé [PGSSI] le réseau d annuaires santé social [RASS- RPPS] la messagerie sécurisée de santé unifiée [MSSU] Journée Nationale des Industriels 8 février 2011 2

Sommaire Points de situation sur des référentiels existants: RNR - notification des évolutions Biologie - maintenance INS Les référentiels à venir PGSSI RASS Journée Nationale des Industriels 8 février 2011 3

Point sur le RNR (Répertoire National des Référentiels) Journée Nationale des Industriels 8 février 2011 4

Plan du RNR Journée Nationale des Industriels 8 février 2011 5

Répertoire National des Référentiels Journée Nationale des Industriels 8 février 2011 6

Phase de maturité 3 simplifications pour faciliter le suivi Service de notification des mises à jour par courriel (tous référentiels confondus) Fil RSS d actualité du RNR Dispense de l obligation de s identifier pour accéder au contenu Journée Nationale des Industriels 8 février 2011 7

Cas particulier de la maintenance de la spécification de dématérialisation du CR de Biologie générale Journée Nationale des Industriels 8 février 2011 8

2 composants du CI-SIS au service de la dématérialisation du CR de biologie Volet CR d examens biologiques : publié et stable Modèle CDA du compte rendu structuré et codé, approuvé par SFIL, SDB, Interop Santé et les industriels représentés en mai 2010, visualisable dans le LPS ou dans un navigateur web (feuille de style), permet l intégration des résultats de biologie dans le SI du PS qui consulte. Jeu de valeurs LOINC pour l expression des résultats de biologie polyvalente : V01 produite conjointement par AP-HP, SFIL, ASIP Santé, 4400 codes d analyses élémentaires avec leurs propriétés en français, permet de comparer les résultats d un patient produits par différents laboratoires Maintenance : Nécessité de compléter la couverture initiale par une V02. Assurer la maintenance des évolutions de la LOINC internationale Corriger certaines anomalies remontées par les industriels Journée Nationale des Industriels 8 février 2011 9

Point sur l INS (Identifiant National de Santé) Journée Nationale des Industriels 8 février 2011 10

Identifiant National de Santé Point de situation sur les logiciels référencés par le CNDA le 31/01/2011 Nombre de logiciels référencés 45 Nombre d éditeurs de logiciels référencés 28 Nombre d OS supportés 5 Windows, Mac, Linux, OS/400, Prologue Secteurs d activité des logiciels 1. Logiciels multi sectoriels 2. Logiciels à destination de spécialistes (infirmier, kinésithérapeute) 3. Logiciels pour les établissements (solutions intégrées, GAM) 4. Logiciels de laboratoire Journée Nationale des Industriels 8 février 2011 11

Sommaire Points de situation sur des référentiels existants: RNR - notification des évolutions Biologie - maintenance INS Les référentiels à venir PGSSI RASS Journée Nationale des Industriels 8 février 2011 12

Point sur la PGSSIS (Politique générale de sécurité des systèmes d information de santé) Journée Nationale des Industriels 8 février 2011 13

Politique Générale de Sécurité des SIS État des lieux et constats Absence d identification d objectifs de sécurité pour les SI de Santé : qui soit formalisée ; qui soit fondée sur une démarche de gestion de risques SSI ; qui prenne en compte l existant et les contraintes opérationnelles. Conséquences pour les acteurs du secteur de la santé : des obligations de mise en œuvre de mesures de sécurité ponctuelles, parcellaires et contraignantes, dans des délais irréalistes ; qui ne répondent que partiellement aux besoins de sécurité : en se focalisant quasi exclusivement sur la protection en confidentialité des données (décret «Confidentialité») ; en reposant sur des modèles de prestation de services informatiques sans lien direct avec la réalité des technologies opérationnelles actuelles (décret «Hébergeur de données»). Nécessité de créer un espace de confiance numérique favorable à l essor du partage et des échanges de données de santé. Journée Nationale des Industriels 8 février 2011 14

Politique Générale de Sécurité des SIS Objectifs et orientations stratégiques Mettre en place un cadre réglementaire permettant : aux professionnels de santé de se concentrer sur la prise en charge des patients et l exercice de leur discipline ; la création d un espace de confiance numérique favorable à l essor du partage et des échanges de données médicales personnelles. Marquer une rupture avec la méthode mise en œuvre jusqu à aujourd hui pour produire les textes existants : Partir d exigences de sécurité pérennes Contextualiser ces exigences pour les rendre concrètes aux acteurs (exercice libéral, maison de santé, réseaux, ES de différentes tailles,.) Définir des trajectoires graduées dans le temps permettant d atteindre chacun des niveaux d exigence ainsi définis en cible. Prévoir des référentiels évolutifs : Intégrant des dispositifs et des mesures accompagnant les évolutions du secteur de la santé (évolution du poste de travail à l environnement de travail par exemple, cartes filles, certificats embarqués, ASP, SAAS, CLOUD, ) Journée Nationale des Industriels 8 février 2011 15

Politique générale de sécurité des SIS Rappels - Urbanisation des référentiels de sécurité Référentiel des «types de menaces» Référentiel des «types de scénarios de risque» Référentiel des «exigences de sécurité» des SIS Référentiel des trajectoires de «mesures de sécurité» Référentiel de «dispositifs de sécurité» Journée Nationale des Industriels 8 février 2011 16

Politique générale de sécurité des SIS PGSSI V0 application au SI-DMP P S S I P G S S I P S S I Contextuelles P S S I... Données de santé à caractère personnel FEROS type SIS Contexte A Contexte B Contexte C... Référentiel des «exigences de sécurité» des SIS Référentiel des «types de menaces»...... Référentiel des trajectoires de «mesures de sécurité» Référentiel des «types de scénarios de risques» Référentiel des «exigences de sécurité» des SIS Référentiel des trajectoires de «mesures de sécurité» Référentiels de «dispositifs de sécurité» Les premiers référentiels produits dans le cadre de la PGSSI en réponse aux besoins immédiats d un SI-DMP pour les volets suivants : Référentiel d identification et d authentification des acteurs de santé ( professionnels et établissement de santé) Référentiel d identification et d authentification des patients Référentiel d imputabilité Journée Nationale des Industriels 8 février 2011 17

Concertation PS Politique Générale de Sécurité des SIS Calendrier prévisionnel des travaux et concertations Publication V1.0 T2 2011 T3 2011 T4 2011 T1 2012 Démarrage prévisionnel au 1 er mars 2011 Information des PS Référentiels PGSSI ASIP Santé Elaboration Objectifs généraux, Trajectoire Elaboration Trajectoire de mesures et dispositifs Elaboration V2.0 Concertation institutionnelle Ministère Opérateurs ANSSI Concertation industrielle Editeurs Validation référentiels Objectifs généraux, trajectoire, risques résiduels Validation référentiel mesures et dispositifs nominaux Validation Nouveaux contextes Impacts concertation Dispositifs industrielle complémentaires

PGSSI v0 - EXEMPLE Référentiel d imputabilité 1/2 Le référentiel d imputabilité définit pour le SI-DMP : Les actions considérées La rédaction d un document de santé par son auteur La responsabilité de la personne qui valide un document de santé La constitution d un lot de soumission par son émetteur L utilisation d une fonction du SI-DMP Consultation de documents d un DMP, Dépôt d un lot de soumission dans un DMP, Gestion des habilitations pour un DMP, etc. Un référentiel de mesures par famille d actions. et La signature numérique par certificat de personne physique / imputabilité directe La signature numérique par certificat de personne morale / imputabilité indirecte. La personne morale peut être un ES, un pôle, une unité fonctionnelle, etc. L absence de signature Journée Nationale des Industriels 8 février 2011 19

PGSSI v0 - EXEMPLE Référentiel d imputabilité 2/2 Un référentiel de mesures applicables par paliers Palier cible (niveau d opposabilité dégressif par palier à partir de la cible) Opposabilité des actions à la personne physique (Signature numérique avec un certificat de personne physique [carte CPx]) Palier -1 Opposabilité des actions à la personne morale Signature numérique avec un certificat de personne morale La présence de l identifiant national de la personne physique dans les éléments signés facilite le rapprochement de l action avec son auteur physique. Palier -2 Opposabilité des actions à la personne morale Signature numérique avec un certificat de personne morale La présence de l identifiant national ou d un identifiant local de la personne physique dans les éléments signés facilite le rapprochement de l action avec son auteur physique à condition qu une politique de gestion des identifiants locaux soit référencée dans les éléments signés. Palier -3 Opposabilité des actions à la personne morale Signature numérique avec un certificat de personne morale / Seules les mesures mises en œuvre par l ES permettent d assurer l imputabilité de la personne physique. Journée Nationale des Industriels 8 février 2011 20

Rédiger un document Assumer la responsabilité d'un document (valider un document) Constituer un lot de soumission Identifiant PGSSI v0 - EXEMPLE Référentiel d imputabilité 2b/2b Personne physique Structure OID de la politique de gestion des identifiants cible Palier -1 Palier -2 Palier -3 N RPPS N RPPS N ADELI Identifiant national de structure OID RPPS Identifiant national de structure OID RPPS ou ADELI Identifiant national ou local Identifiant national de structure OID RPPS ou ADELI OID de la politique locale Signataire Format de signature Signature non requise Signature non requise Signature non requise Identifiant cf. imputabiliter de l'action 'rédiger un document' Signature de Signature de Signature de personne physique Personne physique Personne physique OU OU Signataire Personne morale Personne morale Format de signature XAdES-C englobant XAdES englobant XAdES englobant Identifiant national ou local Identifiant national de structure Signature non requise Signature non requise Identifiant cf. imputabiliter de l'action 'rédiger un document' Signature de Signature de Signature de Signature de Personne physique Personne physique Personne physique Personne physique OU OU OU OU Signataire Personne morale Personne morale Personne morale Personne morale Format de signature XAdES-C détaché XAdES détaché XAdES détaché XAdES détaché Utiliser une Identifiant cf. imputabiliter de l'action 'rédiger un document' fonction du SI- Signature de Signature de DMP (alimenter Personne physique Personne physique un DMP, Signature non Signature de OU OU consulter un requise Signataire personne physique Personne morale Personne morale document, Journée Nationale etc.) Format des Industriels de signature XAdES (à définir) XAdES (à définir) XAdES (à définir) 8 février 2011 21

Point sur le RASS Journée Nationale des Industriels 8 février 2011 22

RASS : Les constats Il existe une multitude d annuaires / référentiels des personnes physiques et morales des secteurs sanitaire, médico-social et social au niveau national, régional et local. En sus, la plupart des applicatifs métiers intègrent des données d identification et de description gérées localement. Ces référentiels sont non synchronisés, identifiants et sémantique ne sont pas forcément homogènes ni cohérents. Cela : altère la fiabilité des données tant en termes de qualité, que d exhaustivité (et bien évidemment d opposabilité) ; entraîne un coût cumulé de conception et de gestion non compatible avec les objectifs d optimisation de la dépense publique, dans un contexte de rareté budgétaire. Journée Nationale des Industriels 8 février 2011 23

RASS : Les enjeux La coordination de la prise en charge patient mais plus encore la dématérialisation des données de santé, en général, imposent des référentiels d acteurs : nationaux, exhaustifs et opposables Cela est bien sur aussi vrai dans le cadre de l extension de cette dématérialisation aux secteurs médico-social ou social Les enjeux du RASS Référentiel régalien sont donc : de mettre à disposition des acteurs spécialisés (Ministères, ARS, DRJSCS, ES, opérateurs ) et du grand public ces identifiants, données de référence et nomenclatures ; de garantir durablement leur qualité grâce : à la formalisation des rôles et responsabilités des acteurs responsables de leur gestion ; à la contractualisation d un dispositif de gestion structurant : actionnant simultanément les leviers technique, organisationnel et juridique (conventions, contrats ), Permettant la mise en place d Autorités d Enregistrement (ordres, ARS, DRJSCS ) formellement garantes de leur qualité. Journée Nationale des Industriels 8 février 2011 24

RASS : Les objectifs Les objectifs du RASS sont de faciliter/permettre : l accomplissement des missions de pilotage, gestion et communication des acteurs spécialisés (Ministère, ARS, opérateurs ), l information du grand public, la maîtrise (ou le contrôle) des données qui le concerne, par chaque acteur, grâce à : 1 2 une vision consolidée des identifiants, données et nomenclatures malgré un environnement applicatif hétérogène ; une diffusion des identifiants, données et nomenclatures aux applicatifs clients en fonction d une matrice de responsabilité permettant leur gestion à un seul endroit. Sans le RASS Avec le RASS Appli 1 Appli 2 Sans le RASS FINESS Données d identification RPPS Données d identification Données d identification RASS Données d identification FINESS Données d identification RPPS Données d identification Données d identification Gestion de l information en plusieurs endroits Avec le RASS (en cible) Appli 1 Appli 2 Consultation de l information Consultation de l information en plusieurs endroits à un seul endroit Diffusion de l information partagée à partir d un seul endroit Journée Nationale des Industriels 8 février 2011 25 RASS Appli n Appli n