Het elektronisch patiëntendossier in rust- en verzorgingstehuizen: mogelijke bijdrage van het ehealth-platform Frank Robben Administrateur-generaal ehealth-platform Sint-Pieterssteenweg 375 B-1040 Brussel E-mail: Frank.Robben@ehealth.fgov.be Website ehealth-platform: https://www.ehealth.fgov.be Persoonlijke website: www.law.kuleuven.be/icri/frobben
Elektronisch patiëntendossier in RVT multidisciplinair team huisarts verpleegkundige kinesist ergotherapeut CRA verschillende toegangsniveaus gegevens - medische - verpleegkundige - acties op gegevens - aanmaken - wijzigen - inzien - 2
Elektronisch patiëntendossier in RVT actoren op verschillende locaties in RVT extern gegevens op verschillende of zelfs meerdere locaties patiëntendossier bij huisarts patiëntendossier in RVT 3
Enkele rechtmatige verwachtingen eenmalige ingave van gegevens door zorgverstrekker mogelijkheid van uitwisseling van gegevens van toepassing tot toepassing toegankelijkheid enkel voor bevoegde gebruikers en voldoende selectief (finaliteits- en proportionaliteitsbeginsel) vanop elke nuttige plaats vanop elk nuttig moment mogelijkheid tot geïntegreerde toegang tot gegevens die op verschillende plaatsen beschikbaar zijn 4
comment? But de la plate-forme ehealth à l'aide d une prestation de services et d'un échange d informations électroniques mutuels bien organisés entre tous les acteurs des soins de santé tout en offrant les garanties utiles au niveau de la sécurité de l information, de la protection de la vie privée et du secret professionnel quoi? optimaliser la qualité et la continuité des prestations de soins de santé optimaliser la sécurité du patient simplifier les formalités administratives pour tous les acteurs des soins de santé offrir un soutien optimal à la politique des soins de santé 5
Schéma de la plate-forme ehealth PortaHealth Utilisateurs Patients, prestataires de soins et établissements de soins Logiciel Site INAMI établissement Portail MyCareNet ehealth Logiciel prestataire Réseau Services de base plate-forme ehealth SAV SAV SAV SAV SAV SAV Fournisseurs 6
Schéma de la plate-forme ehealth service de base un service développé et mis à la disposition par la plate-forme ehealth, qui peut être utilisé par le fournisseur d un service à valeur ajoutée lors du développement et de l offre d un service à valeur ajoutée service à valeur ajoutée () un service mis à la disposition des patients et/ou des prestataires de soins l instance chargée du développement et de la mise à disposition d un service à valeur ajoutée peut utiliser à cet effet les services de base offerts par la plate-forme ehealth 7
Schéma de la plate-forme ehealth source authentique validée (SAV) une banque de données contenant des informations auxquelles la plate-forme ehealth fait appel le gestionnaire de la banque de données est responsable de la disponibilité et de (l organisation de) la qualité des informations mises à disposition 8
Services de bases utilisation de l infrastructure réseau existante (Internet, Carenet, extranets, FedMAN, ) avec cryptage end-to-end des données à caractère personnel relatives à la santé (concept de réseaux privés virtuels (VPN)) services de base offerts par la plate-forme ehealth coordination de processus partiels électroniques environnement portail avec notamment un système de content management et un moteur de recherche gestion intégrée des utilisateurs et des accès système de cryptage end-to-end gestion de loggings boîte aux lettres électronique personnelle pour chaque prestataire de soins répertoire des références (au sujet de quelle personne, où), également nommé metahub horodatage électronique (time stamping) codage et anonymisation pour certaines instances mentionnées dans la loi 9
Méthode d échange et standards un maximum d échanges à l aide de messages électroniques structurés d application à application autant que possible, échange sur la base de standards ouverts ou, à tout le moins, de spécifications ouvertes pour éviter d'être dépendant d'un ou de quelques fournisseurs au niveau technique: KHMER avec structure de message en XML, X.509 (certificats), au niveau sémantique: ICD-9/10, ICPC2, ICF, LOINC, 10
Protection de la vie privée attention particulière à la sécurité de l'information et à la protection de la vie privée, e.a. grâce à un cryptage des données à caractère personnel relatives à la santé échangées entre l'expéditeur et le destinataire (la plate-forme ehealth n'est pas en mesure de voir les données de santé échangées!) un contrôle d'accès préventif poussé - à travers la détermination des types de prestataires de soins / établissements de soins qui peuvent obtenir communication, pour quelles finalités, de quels types de données concernant quels types de patients et pour quelles périodes - grâce à la disponibilité d'un système permettant d'exécuter le contrôle d'accès de façon efficace et préventive (voir infra: système de gestion des utilisateurs et des accès) les données à caractère personnel relatives à la santé ne peuvent être échangées à travers la plate-forme ehealth que moyennant une autorisation accordée par la loi, par la section Santé du Comité sectoriel ou par le patient logging des services électroniques exécutés (qui obtient quoi concernant qui et quand, données à caractère personnel non échangées!) 11
Cryptage destinataire connu 1 Healthcare actor Person or entity Connector or other software to generate key pair Internet 3 ehealth-platform Authenticates sender 2 Sends public key Identification certificate Web service Register key Identification certificate 4 Stores public key 2 Stores private key in a secure way Public keys repository 12
Cryptage destinataire connu Message originator 1 Asks for public key Identification certificate Internet Identification certificate 2 ehealth-platform Authenticates sender 4 Encrypts message Message recipient Send message Any protocol Web service Ask public key Identification certificate 5 Stored Decrypts message private key 3 Sends public key Public keys repository 13
Cryptage destinataire connu 14
Cryptage destinataire inconnu 2 sends key Key Management / Depot 1 asks for key User 1 Originator Messages Depot 15 User 2 Recipient Encrypted with public key of user 1 Encrypted with public key of user 2 Symmetric key Symmetric key 5 receives key 4 justifies right to obtain key 3 sends encrypted message 4 justifies right to obtain message Encrypted with public key of User 2 5 receives message Message encrypted with symmetric key Encrypted with public key of Message depot Message encrypted with symmetric key Message encrypted with symmetric key
Gestion des utilisateurs et des accès un système de gestion des utilisateurs et des accès contenant les fonctionnalités suivantes a été élaboré un système d'authentification de l'identité de chaque entité qui utilise un service offert par la plate-forme ehealth, comme une personne physique, une personne morale, une association de fait ou une application TIC un système de vérification des caractéristiques pertinentes des entités qui utilisent un service offert par la plate-forme ehealth, pour autant que ces caractéristiques soient disponibles dans des sources authentiques rendues accessibles via la plate-forme ehealth (p.e. médecin, infirmière) un système de vérification des relations pertinentes entre des entités qui utilisent un service offert par la plate-forme ehealth et d'autres entités, pour autant que ces relations soient disponibles dans des sources authentiques rendues accessibles via la plateforme ehealth (p.e. détenteur du DMG d un patient) 16
Gestion des utilisateurs et des accès un système de gestion des utilisateurs et des accès contenant les fonctionnalités suivantes a été élaboré un système de gestion des autorisations d'accès que la plateforme ehealth doit gérer conformément aux accords conclus avec les acteurs des soins de santé concernés ou conformément à la décision d'autorisation de la section santé du Comité sectoriel 17
Gestion des utilisateurs et des accès 18
Gestion de loggings est loggé, pour chaque échange de données à caractère personnel pour lequel ce service est utilisé: qui: le numéro d'identification de la sécurité sociale (NISS) de la personne obtenant des données à caractère personnel; si les données à caractère personnel ont été obtenues au nom d'une organisation, aussi l'identité de l'organisation quoi: le numéro d'identification de la sécurité sociale (NISS) de la personne concernant laquelle des données à caractère personnel ont été obtenues; PAS le contenu des données à caractère personnel obtenues quand: le moment auquel les données à caractère personnel sont obtenues; ce champ est généré automatiquement lors de la création d'un nouveau log entry comment: l'application par laquelle les données à caractère personnel ont été obtenues 19
Coordination processus électroniques Clients Application Application Application Exposed services ehealth Service Bus (ESB) Orchestration Orchestration Application Integration & Monitoring Consulted services Providers Application Application Application 20
Répertoire des références est élaboré via un système graduel la référence au(x) prestataire(s) de soins ou au(x) établissement(s) de soins où un ou plusieurs documents électroniques sont disponibles concernant un patient est enregistrée, moyennant le consentement éclairé du patient, dans un répertoire des références local ou régional (appelé hub ) le répertoire des références géré par la plate-forme ehealth (appelé metahub ) contient uniquement des références au(x) hub(s) où sont enregistrées des références concernant un patient l'élaboration via un système graduel respecte l'organisation des réseaux régionaux et locaux entre les prestataires et/ou établissements de soins permet d'éviter que des informations relatives à la santé du patient puissent être déduites des informations conservées dans le répertoire des références géré par la plate-forme ehealth 21
Répertoire des références >90 hôpitaux généraux adhéreront à un hub en 2010 22
Répertoire des références la publication de la référence dans un hub et dans le metahub requiert le consentement éclairé de la personne concernée le modèle du consentement éclairé est élaboré l'accès aux informations auxquelles il est renvoyé dans un hub requiert l'existence d'une relation thérapeutique entre le prestataire de soins demandeur et la personne concernée la note relative à la preuve d'une relation thérapeutique a été approuvée par le Comité de gestion de la plate-forme ehealth, après concertation avec notamment l'ordre des médecins et la Plate-forme fédérale des droits du patient, et par la section Santé du Comité sectoriel un comité d'accompagnement est institué au sein du Comité de concertation de la plate-forme ehealth 23
Besluit basisdiensten en standaarden van het ehealth-platform kunnen worden gebruikt voor een efficiënte gegevensuitwisseling met de nodige waarborgen op het vlak van informatieveiligheid en de bescherming van de persoonlijke levenssfeer de voorgestelde architectuur laat ruime vrijheidsgraden voor de concrete vormgeving van het elektronische patiëntendossier in RVT elektronisch (deel)dossier in RVT elektronisch (deel)dossier bij zorgverstrekkers extern aan RVT elektronisch (deel)dossier bij gekozen ICT-dienstverlener (Software As A Service of SAAS-model) synchronisatie van elektronische (deel)dossiers 24
Voor meer informatie portaal ehealth-platform https://www.ehealth.fgov.be persoonlijke website Frank Robben http://www.law.kuleuven.be/icri/frobben 25
D@nk u! Vragen?