Annuaire(s) utilisateurs , vous en êtes ou ?

Messages

Par Laurent BASSET le 11/04/2018 à 10:49

Un sujet essentiel à l'évolution et l'ouverture de nos systèmes est l'authentification (et habilitations). Si l'on souahite construite des systèmes collaboratifs d'echanges et de partage .... il sera indispensable de reposer sur des "ANNUAIRES" fiables, à jour , etc...

Ajourd'hui , je cosntate par exemple que nous disposons généralement d'un annuaire principal de type LDAP pour la bureautique et d'autant d'anuaires métiers que d'applications. Ceci localement pour un etablissement. certain y ont ajouté un SSO et/ou intégré des CPS couvrant la multitude des annuaires métiers.

L'ouverture va nous obliger à monter à un niveau supérieur d'annuaire, GHT ou Professionel de sante.

Alors que les éditeurs nous annonces souvent être LDAP compatible est il envisageable de penser à un annuaire unique centralisé ?

Serait il possible de simplifier, uniformiser les habilitations entre applications ?

Vos expériences dans ce domaine seront j'en suis sur très utiles.

Par Laurent BASSET le 11/04/2018 à 11:43
Par Christophe MATTLER le 12/04/2018 à 10:31

Bonjour,

nous avons une organisation de ce type au sein de notre établissement, essentiellement basée sur des profils.

Ce qu'il faut d'abord noter, c'est que c'est avant tout un projet d'organisation : uniformiser les habilitations signifie que les professionnels acceptent d'être rangés dans des catégories et d'avoir des droits dépendants de celles-ci. Autrement dit, on arrête de donner de droits liés aux personnes (en dehors de ce que l'ASIP appelle l'attribution discrétionnaire).

Si les profesionnels sont prêts à ce changement, le travail de conception des profils peut démarrer. Les profils sont très dépendants de la structure, de son activité, de son organisation, de sa politique... Notre manière de procéder a été dans un premier temps de définir sur chaque traitement ou application les profils applicatifs (par exemple profil prescripteur dans le logiciel de chimiothérapie), puis de définir des profils métiers (par exemple Médecin en chirurgie) dont nous nous sommes imposés qu'ils puissent être calculés à partir des informations RH, et enfin de définir la matrice croisant ces deux listes. C'est un processus itératif, car on découvre au décours de la construction que des profils doivent être scindés (par exemple séparer les chirurgiens viscéraux et ortho) ou au contraire que rien ne différencie les droits entre deux profils métiers, et qu'il est souhaitable de les fusionner. En effet, le moins on a de profils, plus on a de compréhension de la matrice, et donc de maîtrise de son évolution.

Il "suffit" ensuite :

- d'alimenter l'annuaire d'entreprise avec les profils métiers (à partir des informations RH)

- d'associer les profils applicatifs aux profils métiers selon la matrice.

Evidemment, tout ceci ne vaut que pour les applications qui savent se connecter à un annuaire d'entreprise, et il en existe encore un bon nombre qui ne sont pas dans ce cas.

Cette organisation est en place depuis une dizaine d'année chez nous, et un point intéressant est que la matrice a peu évolué : les outils ont pu changer (aussi bien les outils RH en amont que les outils métier en aval), mais les droits sont restés les mêmes. Il convient de noter que ceci est un vrai plus lors de la mise en place de nouvelles applications : on s'appuie sur les profils métiers existants, pas besoin de ré-inventer la roue à chaque fois. Les quelques évolutions ont été liées à des vrais changements métiers (par exemple l'évolution du métier de dosimétriste).

Par Didier ALAIN le 24/04/2018 à 17:41 Animateur de groupes

@Christophe : pouvez-vous nous éclairer sur votre approche en matière d'habilitation par patient ? Tout le monde a le droit à tous les patients ou juste ceux qui sont pris en charge dans l'unité à laquelle est affectée le patient ?

Par Hélène SOL le 24/04/2018 à 18:45 Animateur de groupes

Bonsoir,

Je vous place ci-après 3 liens vers des avis d'expert qui traitent du sujet évoqué.

Bonne lecture.

Comprendre comment gérer les droits d’accès au DPI

date de publication20 avr. 2016 description de la publicationANAP - Avis d'expert hôpital numérique

description de la publicationLes accès informatiques au DPI sont tracés. Selon les recommandations de la CNIL, les utilisateurs du Système d’Information en sont avertis et l’ont validé en signant la charte de la confidentialité, d’utilisation des TIC, et de la Sécurité du Système d’information, à la connexion au SI ; de fait, cette charte peut leur être opposée et des sanctions peuvent être prise si des accès illégitimes sont réalisés.

http://numerique.anap.fr/publication/1442

Identifier la politique d’habilitation à adopter

date de publication19 févr. 2016 description de la publicationANAP - Avis d’expert Hôpital Numérique

description de la publicationDans la mise en place de solutions informatiques, la gestion des habilitations conditionne le respect de la confidentialité et de la sécurité. Définir une habilitation nécessite de croiser la stratégie de la CME / Direction des soins, les outils de la DRH et la gestion technique des applications.

http://numerique.anap.fr/publication/1041-identifier-la-politique-d-habilitation-a-adopter

Comment mettre en place et maintenir un annuaire du personnel de l’établissement ?

date de publication12 nov. 2015 description de la publicationANAP - Avis d'expert hôpital numérique

description de la publicationL’identification des personnels de l’établissement en liaison avec les UF permet d’assurer la sécurité, de tracer l’activité et de gérer les droits d’accès. La rotation, la polyvalence et la mobilité des personnels génèrent d’importantes difficultés dans la constitution et la maintenance de cet annuaire.

http://numerique.anap.fr/publication/678-comprendre-comment-mettre-en-place-et-maintenir-un-annuaire-du-personnel-de-l-etablissement

Par Thérèse PSIUK le 24/04/2018 à 19:11 Animateur de groupes

Hélène... je viens de relire le premier document que tu mets en lien et je reprends la conclusion qui est tout à fait adaptée à la logique des parcours de soins puisqu’on définit avec le parcours les professionnels concernés ... ces professionnels devront avoir un accès pour éviter les ruptures de continuité Dans l’avenir ?

Le paramétrage des parcours de soins par groupe homogène de patients permettrait, pour les parcours identifiables à l’entrée (exclusion des polypathologies), pour un patient qui "entre" dans le parcours, d'anticiper les professionnels concernés par ce parcours. Dans ce cas, lors d'un accès au DPI, le professionnel pourrait s’identifier en précisant le lien avec le parcours et ainsi éviter ce qui est tracé aujourd’hui comme des bris de glace..