Comment gérer l'accès à distance des professionnels de santé ?

Messages

Par BENOIT JOLLET le 09/02/2015 à 15:22
Bonjour ,



Je me permets de vous contacter pour savoir si une réglementation existe sur la gestion des accès applicatifs santé depuis l'extérieur (Internet) pour du personnel soignant du type médecin ?



Exemple :



Offrir la possibilité à un médecin d'accéder via un accès Internet à des compte-rendus de radiologie de ses patients



D'avance merci pour votre retour,

Cordialement­
Par Didier ALAIN le 12/02/2015 à 18:26 Animateur de groupes
Bonjour Benoit,



Veuillez nous excuser pour le délai de réponse.



Sauf erreur de ma part, pour l'accès, la réglementation applicable est la même que pour le DMP :



- Le cas général est "authentification forte avec CPS", cela s'applique dès lors que le médecin accède au SIH à partir de son domicile privé ou d'un cabinet de ville.

- Si le médecin accède au dossier à partir du SI d'un autre établissement de santé, un "certificat serveur" (CPS dématérialisée en quelque sorte) peut être utilisé.



Il est probable que les experts HN ont une réponse plus précise que la mienne, et surtout, des idées de ce qui est pratiqué en réel !­
Par Michelle DANIEL le 13/02/2015 à 16:02
Bonjour,

Concernant l’accès depuis l’extérieur, il y a deux aspects réglementaires à prendre en compte : la sécurité du SI et celle de l’accès aux données médicales.

Pour la sécurité du SI, vous pourriez vous appuyer sur

- la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI). (Juillet 2013)

­sur le site de l'ASIP santé ­

Il est énoncé l’exigence d’une identification fiable des acteurs dans les principes de sécurité (5.3) ainsi que le contrôle des habilitations et des droits d’accès (5.3.5 Maitrise des accès), la confidentialité (5.2.3), l’accès limité aux personnes en charge du patient et la mise en place d’accès bris de glace.



Si le médecin est en charge des patients dans l’établissement, l’accord du patient est de fait.

Par contre s’il s’agit d’un médecin extérieur (médecin traitant par exemple, il alors est nécessaire d’avoir l’accord du patient, Pré requis : respect des droits du patient (5.1)

- Les référentiels d’identification des acteurs sanitaires et médico-sociaux et d’authentification des acteurs de santé ­sur le site de l'ASIP santé­ et aussi ­encore sur le même site­

- La PSSI de l’état (circ-38641 sortie en juillet 2014) ­sur légifrance­. Particulièrement le point RES-PROT page 23 sur la protection des réseaux, sachant que les données de santés sont considérées comme des données sensibles et le point EXT-PROT-INF sur la protection des informations sensible.



Concernant l’accès aux données médicales :

- Décret N° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique pour transmise par voie électronique

­ toujours sur légifrance­. On peut citer les guides de la CNIL indiquant des préconisations en termes de sécurité de données à caractère personnel et respect du droit du patient.

- Le guide des professionnels de santé de la CNIL (2011).

http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL

La fiche N°1 fait référence à l’article L. 1110-4 du code de la santé publique et indique que les professionnels d’un même établissement peuvent s’échanger les informations relatives au patient. La fiche N°5 précise la sécurité nécessaire lors des envois de mails et télécopie. La fiche N°9, le haut niveau de sécurité, l’identification par CPS et le chiffrement des données.

- Le guide des données personnelles de la CNIL (2010)

­sur le site de la CNIL­. Il identifie les précautions pour assurer la confidentialité de la communication

- La référence au code de déontologie médicale (art R4127-45 du code de la santé publique) « Tout médecin doit, à la demande du patient ou avec son consentement, transmettre aux médecins qui participent à sa prise en charge ……….les informations et documents utiles à la continuité des soins.



Au-delà de la réglementation, au niveau institutionnel, il semble souhaitable de formaliser les règles d’accès à distance et la liste des éléments consultables dans une charte validée au niveau du DIM et de la CME.



Je ne suis certainement pas exhaustive, j’espère que ces éléments répondent à votre questionnement.

Cordialement,­
Par BENOIT JOLLET le 13/02/2015 à 16:06
Merci beaucoup pour ces retours.



Cordialement­
Par Didier ALAIN le 13/02/2015 à 16:14 Animateur de groupes
Voilà qui préfigure un "avis d'expert" des plus robuste. Grand merci à toi, Michelle.­
Par MODERATEUR FORUM le 09/03/2015 à 19:20
Bonjour,



un avis d'expert de Michelle Daniel vient d'être publié sur Mon Hôpital Numérique : Comprendre comment mettre en place un accès à distance pour les professionnels de santé



N'hésitez pas à le consulter, ­il est disponible ici­.



Bien cordialement,



L'équipe ANAP­
Par Patrice BOURDON le 08/11/2016 à 08:57
Bonjour, le document pdf cité est très intéressant mais je reste un peu sur ma faim... Est ce que concrètement on peut bien donner accès au DPI aux médecins via VPN HTML5 (donc sans traces résiduelles) MAIS sans authentification forte type CPS ?

La difficulté de authentification sur du matériel non fourni par l'établissement forte est évoquée mais pas clairement tranchée je crois. Une authentification forte via AD est elle suffisante ? (login nominatif et mdp complexe avec changement tous les 6 mois)

Merci.­