Vous êtes dans : Accueil > progiciel >
Définir, appliquer et contrôler une politique cohérente d’accès aux données médicales d’un DPI est en soi un vrai défi. A fortiori quand l’établissement est de grande taille (CHU ou gros CH), a fortiori s’il mêle des activités hétérogènes (MCO, Psy, SSR, etc.), a fortiori si l’établissement appartient à un plus gros ensemble (CHT, GHT), a fortiori si les éléments de l’ensemble ont des cultures hétérogènes, des histoires différentes. En plus des 70 pages du guide Apssis[1], votre serviteur ne parvient pas à épuiser totalement le sujet, c’est dire.
Récemment, un confrère m’a soumis le problème suivant : en manque de personnel et après une démission, sa DSI a fait appel à une SSII pour une prestation de DBA en mode « prêt de personnel », mais ladite SSII n’est pas certifiée HDS et encore moins sur son niveau 5 (N5). Le décret 2018-137[1] énonce pourtant dans l’article R. 1111-9 que : « Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] : 5° L’administration et l’exploitation du système d’information contenant les données de santé. » Si on l’applique tel quel et sans discernement, non seulement la DSI est bloquée, mais la moindre entreprise qui effectue la télémaintenance d’un progiciel de santé doit détenir la certification N5. Autant dire que l’on arrête de faire fonctionner la quasi-totalité des SI de santé puisque très peu d’entreprises cochent la case.
L’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.
Il y a trois ans, j’ai fait appel à un jardinier pour poser une haie d’arbustes, dans le but d’isoler mon terrain de celui du voisin, sur le plan visuel tout du moins. La haie plantée, le bonhomme me signale qu’elle va monter en hauteur et en épaisseur à tel point que d’ici à trois ans au maximum il devra venir la tailler tous les ans. Traduction pour nous autres pauvres informaticiens devant l’Éternel : son BUILD va lui générer son propre RUN.
Une des particularités de la formation des jeunes pilotes d’avion, pour l’aviation commerciale comme pour l’aviation privée (dite « de loisir »), est la prise en compte avant chaque vol du TEM : Threat and Error Management, ou gestion des menaces et des erreurs. On trouve des tonnes d’articles[1]plus ou moins théoriques sur le sujet, mais en gros l’idée est simple : avant le vol, il s’agit d’inventorier les risques connus et identifiés.
En facilitant l’échange d’information et la communication, le numérique contribue à améliorer le parcours médicosocial de la personne accueillie. Lancé en 2020, le programme ESMS numérique, programme très ambitieux, vise à généraliser l’utilisation du numérique dans les ESMS. Accompagnée par WELIOM, Cabinet de conseil et de services dédié au secteur de la santé,l’ADAPEI 27* s’est lancée dans la démarche. Avec les témoignages d’Emmanuelle COR, Directrice Administrative et Financière et des Systèmes d’information, et d’Isabelle CORREA, Chargée de missions - ADAPEI 27.
C’est bien connu : la différence entre les ennuis et les emmerdements, c’est que les premiers se baladent souvent tout seuls, alors que les seconds ont une fâcheuse tendance à se promener en groupe ou à voler en escadrille.
Vu l’état général des moyens financiers et humains des DSI d’établissements de santé (1,7 % du budget de l’établissement, moyenne nationale, contre 3,5 % pour atteindre le niveau 6 de Himss qui est l’ambition affichée de tous les plans HNUM depuis 15 ans), à un moment donné on ne peut plus tourner autour du pot, il faut bien nous expliquer où on va trouver les sous. Ça ne rate jamais, il se trouve toujours quelqu’un pour venir vous expliquer que la convergence des SI – et des DSI – va faire réaliser des économies tellement miraculeuses que le jackpot au Loto, à côté, c’est de la gnognotte. Eh bé non. Voici pourquoi.
Appartenant au groupe Vivalto Santé, l’Hôpital privé de la Baie à Avranches dans la Manche, est le tout premier établissement en France à utiliser la réalité virtuelle en formation continue pour éviter les erreurs dans les blocs opératoires. Son module de simulation 3D baptisé « le bloc des erreurs » est un serious game1 en immersion virtuelle au cœur d’un bloc opératoire. Destiné à la formation continue des professionnels de santé, des internes et externes, ce programme innovant permet de traquer toutes les erreurs possibles dans un bloc.
Le niveau de confidentialité de la prescription de statines de ma grand-mère de 93 ans doit-il être le même que celui du compte rendu opératoire de la tumeur cérébrale de mon oncle de 52 ans ? Cette interrogation relève-t-elle du domaine éthique, philosophique juridique ? Le sujet est important car, à ce jour, rien ne les différencie. Les données de santé à caractère personnel des Français sont classées ultrasensibles, sans aucune hiérarchie. Ainsi, un Ehpad est soumis à la même réglementation qu’un centre hospitalo-universitaire, dont principalement le règlement général sur la protection des données (dit RGPD), qui oblige le responsable de traitement, c’est-à-dire le directeur ou la directrice, à mettre en œuvre toutes les mesures de sécurité requises adaptées à la sensibilité du traitement.
C’est l’heure du bilan d’une annus horribilis, à tout point de vue.
Après les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès jamais audités, procédures internes aux fournisseurs plus que perfectibles (pour être poli), le moins que l’on puisse dire est qu’il s’agit d’un domaine pour lequel la sécurité des SI est… Comment dirais-je ? Sujette à amélioration (pour être très poli).
Il est de ces sujets qui reviennent périodiquement, on ne sait trop pourquoi, comme ces modes vestimentaires étranges. La question du chiffrement des données des progiciels métier – ici, le Dossier Patient Informatisé – en fait partie. Ce n’est pas que la question soit ou non pertinente ou d’actualité, c’est juste que, posée telle quelle, elle n’a pas de sens. Voici pourquoi.
L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.
L’éditeur de logiciels hospitaliers MiPih reçoit en juin l’autorisation Identifiant National de Santé intégré (INSi) pour son logiciel de Gestion Administrative du Patient (GAP), Pastel. Une première pour un éditeur e-santé d’envergure nationale.
L’épidémie de Covid-19 aura mis en lumière l’importance du numérique dans la gestion de la crise. Tout le monde a désormais en tête l’exemple de la téléconsultation. DSIH s’est intéressé à la manière dont les acteurs des systèmes d’information hospitaliers ont composé avec l’urgence pour rendre disponibles des solutions permettant aux établissements de santé de maintenir le continuum des soins, pour des patients Covid et non Covid.
Je suis tombé plusieurs fois déjà sur le même phénomène concernant les logiciels du cœur de métier dans un établissement de santé – le soin –, et même s’il ne constitue en rien une généralité, je le trouve tout simplement scandaleux.
Il est toujours étonnant de voir les MOA se débattre dans des processus aussi complexes et chronophages les uns que les autres, pour un choix qui devrait somme toute être relativement bordé, à défaut de simple : celui du progiciel qui informatisera le cœur de métier, en l’occurrence le DPI pour les établissements de santé. Bien entendu, on parle du choix de gros DPI pour de grosses structures : sauf respect, informatiser un Ehpad ne présente pas de difficulté informatique. Il est bien question ici d’informatiser un gros CH, préoccupation d’actualité puisque nombre de GHT sont en train de revoir le choix du DPI, pour couvrir tout le GHT.
D’habitude, ceux qui subissent mes divagations hebdomadaires savent que je passe une bonne partie de mon temps à exprimer des avis totalement péremptoires (qu’il ne faut pas écouter), à donner des conseils plus que discutables (qu’il ne faut pas suivre) et à critiquer mon prochain (qu’il faut plaindre). Bref, tous les défauts que, personnellement, je déteste chez les autres. Peut-être d’ailleurs aurais-je dû prendre des résolutions en ce sens pour 2020 ; trop tard, on verra en 2021.
Dans le cadre de son nouveau marché « Fourniture, déploiement, maintenance d’un Progiciel de Dossier Patient Informatisé et prestations annexes », le GIP RESAH a référencé la plateforme territoriale de production de soins Maincare IC.
L’AP-HP a récemment annoncé avoir déployé son DPI Orbis dans ses 39 hôpitaux, et cette information parue dans un média[1], est très intéressante à la fois par ce qu’elle dit et par ce qu’elle ne dit pas.
Stupide car, généralement, quand vous essayez de classifier ce type de fonction un peu bizarre au sein de l’organisation, la plupart de vos interlocuteurs ne manquent pas de vous faire remarquer que vous oubliez tel ou tel aspect de la question, qu’un de leurs confrères ne rentre pas dans le moule, etc. Même pas peur, et puis, de toute manière, on a bien le droit de penser à haute voix – au clavier en l’occurrence –, non ?
Dans deux articles précédents[1], nous procédions à un état des lieux de la solution Cloud Office 365 (0365) de Microsoft, en particulier de la sécurisation de la solution, pour le volet technique dans le premier article, et pour le volet conformité dans le deuxième. Dans un troisième article, nous décrivions par le menu le positionnement d’un RSSI vis-à-vis des questions On Premise/Cloud : pour résumer, en tant que RSSI, je n’ai pas d’avis suspensif, juste des préconisations.
S’il est un sujet qui me plonge dans un abîme de réflexion, c’est bien celui-ci : comment faire converger le SI des établissements d’un GHT ? Sur le plan fonctionnel s’entend.
La Formation Stratégie des SI des Santé, conçue et délivrée par Cédric Cartau a pour but d’appréhender le changement des volets fonctionnels, de gouvernance, de technologues, des normes de sécurité, et les aspects normatifs et juridiques.
Il se trouve que parmi mes préoccupations – pas seulement celles du moment, mais en général –, la sécurisation des comptes à privilèges occupe une place particulière parce qu’il s’agit d’une tâche pas si évidente. Petit état des lieux.
La société « Foutoir Informatique » – n’insistez pas, je garantis toujours l’anonymat de mes sources – envoie à ses clients un avenant RGPD. Normal, me direz-vous, il s’agit là de l’un des points à régler afin de déterminer qui est responsable de quoi au sein d’un traitement dont le client est en principe RT (responsable de traitement) et le fournisseur ST (sous-traitant).
J-14 avant le lancement du 6e Congrès national de la sécurité des SI de santé, qui se déroulera au Mans les 3, 4 et 5 avril 2018. « Le RGPD par ceux qui ont les mains dedans, pour ceux qui y sont jusqu’au cou » est la conférence inédite préparée spécialement pour l’événement par Cédric Cartau, RSSI et DPO du CHU de Nantes. De quoi parle-t-elle ?
La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.
Le 29 novembre dernier s’est tenu au Ministère de la santé le traditionnel colloque SSI, organisé par la DGOS et avec une forte implication de Frédérique Pothier, qui « commet » encore un sans faute dans l’organisation. Ceux qui ont assisté à cette édition ainsi qu’aux précédentes savent que le temps fort est à chaque fois la séquence « Cela n’arrive pas qu’aux autres », avec des récits tantôt désopilants tantôt effrayants d’incidents IT en tout genre.
Longtemps relégués à d’obscures fonctions de backoffice, les exploitants voient leur mission revenir au premier plan car c’est à eux d’assurer la qualité de service nécessaire au support numérique des processus métier de l’hôpital. Mais leur tâche est difficile dans la mêlée de la transformation numérique.
La dépendance croissante des métiers vis-à-vis du numérique doit nous interroger sur les limites de la technologie et nous inciter à trouver des parades à sa fragilité.
Dans un article récent(1), TICsante.com retrace un classement réalisé par le Syntec numérique sur les éditeurs de logiciels, comportant notamment un volet pour ce qui est du monde de la santé.
Le sujet s’étire en longueur, mais à force de creuser on se rend compte que certains aspects sont plus compliqués que prévu.
Les circuits du médicament et du dispositif implantable sont devenus très complexes. Une application comme Pharma est à même de simplifier la tâche des professionnels de la pharmacie, car cet outil transversal peut, à lui seul, piloter l'ensemble des activités. Cette application est en évolution constante et de nouveaux modules interopérables viennent compléter ses possibilités.
Courrier International publie cette semaine un très intéressant dossier sur la lutte antivirale à l’échelon planétaire, faisant suite aux deux alertes majeures Wannacry et Petya. Rappelons que le principe de l’hebdomadaire n’est pas de défendre un point de vue mais de présenter un panel relativement large des points de vue internationaux sur chaque sujet.
Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.
L'offre Cerner évolue dans l'optique d'adapter le DPI Millennium à l'approche populationnelle des soins. Nous avons rencontré Harold Juillet, Directeur Général de Cerner France, lors du salon HIT, pour une description du nouveau portail patient, des vues de synthèse MPages Millennium compatibles avec les nouveaux standards et des avantages que peuvent en tirer tous les acteurs de la prise en charge du patient.
En intégrant un portail patient à Diamm, Micro6 propose plusieurs fonctionnalités favorisant la prise de rendez-vous à distance, le recueil d’informations par les proches ou, pour le médecin, la consultation de son agenda. Un module d’éducation thérapeutique paramétré par ce dernier peut également être mis à disposition des patients.
Avec deux offres complémentaires pour les GHT, MarcoWeb d’Agysoft et Épicure + de Pharmatic, le groupe indépendant Ach@t Solutions, intégralement dédié à la gestion de l’achat et de la commande publique, assoit sa position de leader en France.
Acteur de référence dans l’édition de solutions complètes et d’expertise métier au service des secteurs médico-social, sanitaire et des résidences-services, Tmm groupe ajoute à ses activités celles de la startup Oppido et sa solution novaS4, un progiciel de CRM, gestion administrative (contrats, facturation, encaissements) et réglementaire – qualité (évaluations internes et externes).
La Fédération des Etablissements Hospitaliers et d’Aide à la Personne Privés Non Lucratifs (FEHAP) tient son 41ème congrès annuel les 13 et 14 décembre prochains à Paris. En écho aux 80 ans qu'elle vient de fêter, la fédération accueillera 80 exposants au Palais des Congrès de Paris. Cette année, un acteur public des systèmes d'information fait son apparition sur cet événement : le groupement d'intérêt public SIB. Pour faire le point sur cette participation, DSIH a rencontré Olivier Morice-Morand, le directeur général et Baptiste Le Coz, le directeur général adjoint du SIB.
Rendez-vous annuel des décideurs financiers et des contrôleurs de gestion du monde hospitalier, le séminaire Étude Nationale des Coûts Communs (ENCC), organisée par la Fédération Hospitalière de France (FHF) et les Hôpitaux Universitaires de Strasbourg, accueillera dans 2 jours près de 500 participants hospitaliers au Palais des congrès de Strasbourg.
L’année dernière, à l’occasion de la première édition de l’audit de certification des comptes, je m’étais fendu d’un article dithyrambique[1] sur son impact – positif – pour les RSSI dont je suis.
Cerner a fêté lors du salon HIT 2016 ses onze ans de présence sur le marché français. L’occasion pour nous de rencontrer le directeur général de cet éditeur, Harold Juillet, pour une revue de détail de ce qui fait le succès du DPI Millennium et des capacités en R&D de la société.
Cela fait pas loin de 17 ans que je navigue dans le merveilleux monde des DSI, et après trois CHU et des dizaines de DSI auditées ou simplement visitées, je tombe toujours régulièrement sur des dysfonctionnements liés à la question des ressources affectées aux équipes, que ce soit les équipes en front office de la DSI (secteur applicatif) ou celles qui relèvent de l’intendance technique (équipe système, infrastructure, réseau, etc.). Cela consiste à demander à une personne ou une équipe un travail (du Run comme du Build) sans lui en donner les moyens, ce qui se traduit souvent par un déséquilibre entre les ressources affectées à chaque équipe (l’une étant surdimensionnée par rapport à la capacité de production de l’autre).
Le déploiement de la solution ORBIS d’AGFA est entré dans sa phase industrielle à l’AP-HP. C’est ce que nous a confié le Dr Laurent Tréluyer, Directeur des Système d’Information de la structure, qui a confirmé que la collaboration entre les deux parties a été reconduite le 21 mars 2016 par la signature d'un nouveau contrat de notification.
Il est arrivé, le décret tant attendu d’application de la loi de santé 2015, plus spécifiquement la partie qui nous intéresse ici, à savoir celle qui concerne les SI.
Si je demande à la volée qui doit décider des habilitations IT – s’entend des règles qui définissent quel utilisateur a droit à quoi –, l’auditoire se lève en général comme un seul homme pour répondre : la maîtrise d’ouvrage. Pas si vite, pas si vite, je n’userais pas mon clavier et les yeux de mon rédacteur en chef sur un tel sujet si la réponse était aussi triviale.
Les plus lus