On nous aurait menti ?! C’est un véritable séisme qui secoue le milieu des éditeurs des logiciels d’aide à la prescription.
Certains d’entre vous ont peut-être déjà eu l’occasion de visiter cet édifice incroyable, situé à Hauterives dans la Drôme : le Palais idéal de Ferdinand Cheval (1). Inclassable et mélangeant des thématiques aussi variées qu’improbables (église gothique, manoir féodal, temple hindou, mosquée, etc.), il est l’œuvre d’une vie et défie encore aujourd’hui les lois de la construction, au point que les experts continuent de s’interroger sur la manière dont certaines pièces ont été assemblées pour réussir à tenir ainsi…
En 2018, le processus d’agrément des hébergeurs de données de santé va évoluer vers une certification basée sur les normes ISO. Ce passage d’un agrément basé sur un dossier déclaratif, à une certification basée sur un audit sur site, va bouleverser la manière de travailler d’un certain nombre d’HADS (Hébergeurs Agréés de Données de Santé). Une partie d’entre eux vont voir leur métier modifié au-delà de ce changement de procédure.
Tout comme le congrès national de la sécurité des SI de santé organisé par l’APSSIS dans cette très belle ville qu’est Le Mans, le colloque SSI Santé du 14 avenue Duquesne à Paris est devenu un rendez-vous annuel à ne pas manquer pour tous les acteurs du secteur.
Le règlement général sur la protection des données[(1) (RGPD), entré en vigueur le 27 avril 2016, sera applicable le 25 mai 2018.
Le 29 novembre dernier s’est tenu au Ministère de la santé le traditionnel colloque SSI, organisé par la DGOS et avec une forte implication de Frédérique Pothier, qui « commet » encore un sans faute dans l’organisation. Ceux qui ont assisté à cette édition ainsi qu’aux précédentes savent que le temps fort est à chaque fois la séquence « Cela n’arrive pas qu’aux autres », avec des récits tantôt désopilants tantôt effrayants d’incidents IT en tout genre.
On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).
Longtemps relégués à d’obscures fonctions de backoffice, les exploitants voient leur mission revenir au premier plan car c’est à eux d’assurer la qualité de service nécessaire au support numérique des processus métier de l’hôpital. Mais leur tâche est difficile dans la mêlée de la transformation numérique.
Ça y est, pas mal de GHT ont déjà démarré les travaux de convergence de leur SI… Bon, OK, je reformule, pas mal de GHT ont déjà démarré les travaux de réflexion sur ce qui va devoir converger ou pas, et dans quel ordre. Bon, OK, OK, je reformule encore : pas mal de GHT ont commencé les réunions des DSI, ça vous va ?
A l’ère du « tout numérique », on peut se demander si les américains sont encore nos alliés. J’ai envie de vous répondre que dans ce domaine, je pense qu’ils ne sont aujourd’hui les alliés de personne.
Dans un récent article(1), Ticsanté relate une étude récemment réalisée par Frédéric Kletz, enseignant-chercheur à Mines ParisTech, et présentée à un colloque de l’Anap. Sans entrer dans les détails de l’article, notons que le bilan dressé est mitigé en termes de gains pour les organisations et d’adhésion des utilisateurs, en particulier du corps médical (en tout cas ceux qui ont été interrogés par l’étude). L’article est court, le rapport de l’étude certainement bien plus long, et nous ne pouvons donc que faire des suppositions sur les points évoqués, ces précautions oratoires étant importantes afin de ne pas dévaloriser le travail réalisé.
La dépendance croissante des métiers vis-à-vis du numérique doit nous interroger sur les limites de la technologie et nous inciter à trouver des parades à sa fragilité.
Je ne sais pas pour vous, mais pour moi, il est de plus en plus difficile d’entendre parler de « transformation digitale », de « fichiers cryptés » ou encore « du dark net ».
Si je vous dis que les établissements de santé vont bientôt ouvrir leur dossier patient informatisé (DPI) à leurs usagers (les patients), vous me répondrez que si c’est pour écrire des trucs que l’on sait déjà, autant rester couché. Si je vous dis, en sus, que la dimension GHT va rendre le projet « factorisable », c’est-à-dire que la masse critique de la nouvelle méta-organisation va faire que la brique à déployer sera économiquement plus facile à financer, gérer, etc., vous êtes forcément d’accord. Mais si on commence à parler des contraintes projet mêlées aux contraintes normatives, là, c’est tout de suite plus sportif.
Témoigner dans une tribune de DSIH.fr a pour principal intérêt de recueillir les réactions des lecteurs, industriels et professionnels des systèmes d’information de santé, afin de s’enrichir des avis et des idées qui permettent de faire avancer les réflexions, dans un domaine où il n’existe pas encore de guide de bonnes pratiques (en attendant les précieux guides de l’Anap) et où les contextes locaux sont tous très différents.
Dans un article récent(1), TICsante.com retrace un classement réalisé par le Syntec numérique sur les éditeurs de logiciels, comportant notamment un volet pour ce qui est du monde de la santé.
L’association à but non lucratif SNOMED International qui maintient et distribue la terminologie médicale de référence SNOMED CT, a organisé l’événement « SNOMED CT Expo ». L’objectif ? Rassembler les parties prenantes (éditeurs, décideurs, professionnels de santé, terminologistes) de tous les continents pour confronter les expériences de mise en œuvre de cette terminologie. Le cru « SNOMED CT Expo 2017 » qui s’est tenu les 19 et 20 octobre derniers à Bratislava, a été l’occasion pour Phast de présenter sa traduction française et les premières implémentations exploitant cette traduction.
Les systèmes d’informations de santé britanniques reviennent sur le devant de la scène pour le meilleur du pire.
En avril dernier, en plein congrès de l’Apssis, je commettais déjà un premier article(1) sur le sujet expliquant que l’obtention de l’agrément HDS nouvelle mouture (qui sera effectif en 2018) coûterait au bas mot deux à trois fois plus cher que l’obtention de l’ancienne version, ce qui faisait déjà une sacrée note.
A l’heure de la mise en place des GHT, la question de l’externalisation de tout ou partie des fonctions SI est posée. Si cette question est largement documentée dans la littérature spécialisée, qu’en est-il de l’externalisation des fonctions spécifiques aux technologies numériques.
Le sujet s’étire en longueur, mais à force de creuser on se rend compte que certains aspects sont plus compliqués que prévu.
Les exemples de découvertes de vulnérabilités sur les dispositifs médicaux ne manquent pas et l’actualité nous le rappelle de plus en plus régulièrement. Pacemakers, autoclaves, moniteurs patients, imagerie médicale, pompes à perfusion… [1] ont fait la une de l’actualité SSI depuis le début de l’année.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.
Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.
Il va falloir s’y habituer, les données de santé de nos patients ont bel et bien une valeur.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.
Telle est la question qui m’a été posée. A l’origine du questionnement une chronique juridique, issue des informations mensuelles du CISME, intitulée Activité des SSTI et obligations juridiques, dans laquelle il est indiqué que :
Il y a quatre ans, quand le nouveau directeur général du centre hospitalier de Troyes a pris ses fonctions, je ne vous cacherai pas que je fus quelque peu désarçonné par ses propos. Il me parlait de bornes interactives, de patients acteurs de leur parcours de soins et de développement des liens avec le secteur médico-social.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.
Dans le secteur de la cybersécurité, s’il y a bien une chose de sûre, c’est que l’on ne s’ennuie jamais. L’actualité complètement folle de ce domaine toujours en quête de nouveautés nous amène parfois à découvrir des choses complètement insolites !
Début juillet, une circulaire(1) venait préciser les dispositions à mettre en œuvre, dans le domaine du médico-social, pour sécuriser les SI.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Attaquons à présent une question pas forcément vitale, mais importante tout de même : l’évaluation de son impact sur la vie privée des incidents de sécurité, ou l’appréciation des risques.
Comme tous les premiers mardi du mois, Microsoft a publié le 12 septembre dernier son désormais célèbre « Patch Tuesday ». Être à l’heure pour passer les mises à jour de sécurité n’a pas toujours été notre spécialité dans le secteur de la santé, mais on fait des progrès.
Rien de mieux que des lectures choisies pour alimenter une réflexion de fond. C’est la raison pour laquelle je vous conseille vivement la lecture d’un petit ouvrage – petit, mais de qualité – destiné à tous les professionnels du risque, mais pas à eux seulement. En l’occurrence Peut-on vivre sans risque ? de Jean-Marc Cavedon, aux éditions Le Pommier (128 p., octobre 2016).
Le magazine ticsanté relate cela dans ses colonnes(1), et le jugement est particulièrement intéressant.
Dans ma précédente prose(1), je me suis livré à l’analyse du durcissement du ton des autorités US vis-à-vis de l’éditeur d’antivirus russe Kaspersky. Certains commentaires postés sur LinkedIn m’ont fait remarquer à juste titre – et je les en remercie – qu’il existait des éditeurs européens, par exemple Bitdefender. J’en profite d’ailleurs pour préciser que le consortium Hexatrust est constitué d’éditeurs français d’excellent niveau officiant dans le domaine de la sécurité, comme ITrust et bien d’autres.
Le GHT de l’Aube et du Sézannais sera l’un des premiers à s’engager dans une démarche de certification conjointe par la Haute Autorité de santé (HAS), dès le mois de juin 2018. Pour atteindre cet objectif, des dizaines de groupes de travail avec pilotes et copilotes ont été activés au premier semestre 2017 au sein du GHT. Ils suivent un planning chargé comprenant au moins un « événement qualité » par mois : auto-évaluations, audits de processus, ventilation PDCA, carte d’identité des processus, cartographie des risques, etc.
Après les grandes annonces (les SI de GHT sont convergents sous 3 à 5 ans, une gageure) on voit enfin s’élever la voie de la raison, en l’occurrence lors de l’université d’été de la FHF (1! qui réclame de la souplesse dans l’élaboration des SDSI et leur mise en œuvre ? C’est bien.
Le magazine SILICON publie un article(1) qui semble nous promettre la chienlit généralisée, au travers de quelques chiffres bien sentis. Petite analyse critique.
Les relations éditeurs/établissements sont loin d’être de longs fleuves tranquilles. Loin s’en faut. La preuve en est encore apportée par un arrêt rendu le 16 février 2017 par la Cour d’appel de Grenoble. L’histoire ne dit pas si cet arrêt a été frappé d’un pourvoi en cassation.
Dans un récent article(1) de Silicon.fr, on apprend que plusieurs agences (NSA, CIA, etc.) ont demandé aux entreprises – publiques et privées – de cesser d’utiliser l’antivirus Kaspersky (russe), au motif que l’éditeur est soupçonné d’accointances avec le KGB. Dans un premier temps, il s’agit d’arrêter l’usage de cet antivirus dans l’armée, avant d’étendre la mesure aux entreprises privées sous contrat avec l’administration américaine.
« Allo Docteur, je souhaiterais prendre rendez-vous pour passer la dernière mise à jour de sécurité de mon pacemaker. » Non cette phrase n’est pas tirée d’un film de science-fiction, mais c’est bien ce que risque d’entendre prochainement certains médecins américains (ou leurs secrétaires) en décrochant leur téléphone.
Je ne vous ai pas menti, les vacances sont toujours un excellent moment pour lancer une attaque.
On ne cesse de le répéter, mais les vacances, comme les week-ends et les jours fériés sont des moments privilégiés pour lancer de nouvelles attaques ! Moins de personnel en général, moins de monde à la DSI, donc moins de surveillance et moins de techniciens sur place pour jouer les pompiers en cas d’incident. Par conséquent, beaucoup plus d’impact !
Les plus lus