Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Avis d'experts

Comprendre comment gérer les droits d’accès au DPI

 3809 vues

Cet avis d'expert a été rédigé par Ronan LE REUN et Hélène SOL.

Les accès informatiques au DPI sont tracés. Selon les recommandations de la CNIL, les utilisateurs du Système d’Information en sont avertis et l’ont validé en signant la charte de la confidentialité, d’utilisation des TIC, et de la Sécurité du Système d’information, à la connexion au SI ; de fait, cette charte peut leur être opposée et des sanctions peuvent être prise si des accès illégitimes sont réalisés.

­Qu'est-ce qu'une gestion des droits d'accès efficace ?­

Critère n°1 - Elle doit permettre les accès légitimes sans contrainte, ni sans limite, pour les utilisateurs : en temps réel, avec peu ou pas d'action supplémentaire de leur part.

Critère n°2 - Elle doit limiter et surveiller les accès estimés a priori illégitimes (c’est-à-dire hors d’un contexte de soins).

Critère n°3 - Elle doit pouvoir être mise en œuvre moyennant un temps d'administration des droits d’accès restreint (à noter : cette administration, conçue au départ par l’informatique dans le logiciel, est souvent déléguée aux référents dans les unités de soins).

­La pratique la plus couramment observée dans les établissements­

L'accès au DPI d'un patient n'est permis que pour l'équipe de soins appartenant à l'unité de soins de prise en charge (unité de responsabilité médicale et unité de présence du patient (qui peut être différente dans le cas d'hébergement du patient dans une autre unité)).

Dans le cas où un intervenant n'est pas affecté à l'unité de soins (hors services transversaux et plateaux techniques), il dispose d'une option de "bris de glace", dont il est averti par un message « accès hors délégation, validez-vous ? », qui lui permet d'outrepasser la restriction d'accès de façon volontaire, sans intervention de la personne chargée d'administrer les droits d'accès.

Tous les accès en mode "bris de glace" sont tracés. Les accès en "bris de glace" sont audités a posteriori. En cas de détection d'un accès illégitime ou supposé tel, des actions sont entreprises auprès de l'utilisateur concerné. ­

Quelle est l'efficacité de cette pratique au regard des trois critères cités précédemment ?­ ­

Les accès légitimes sont aisés : très bon.

Les accès illégitimes sont interdits : faible.

Mobilisation de temps d'administration : très faible (hors temps d'audit des journaux d'accès et des actions subséquentes). ­

Actions liées à cette pratique­

(1) Afin de ne pas bloquer les utilisateurs dans leur pratique de soins et leur permettre d’accéder à toutes les données de soins qui pourraient être utiles dans la prise en charge des patients, les accès sont relativement « ouverts », mais tracés, ce qui laisse la porte ouverte aux accès réellement illégitimes. Même si en termes juridiques le "préjudice est constitué", ces accès sont faits en toute connaissance de cause de la part de l’utilisateur, qui a été averti et a validé ces accès hors délégation ; si, après interrogation de l’utilisateur, ces accès sont réellement illégitimes (réalisés hors d’un contexte de soin), il convient d’en sanctionner l'auteur, en rendant opposable le fait qu’il en ait été averti.

(2) Le contrôle a posteriori des journaux d'accès en mode "bris de glace" est absolument à réaliser, ce qui peut-être chronophage et/ou inefficace : comme on l'a vu, les bris de glace sont fréquents, dans la plupart des établissements, du fait du grand nombre d'intervenants n'étant pas directement affectés à l'unité de soins. Ces contrôles devraient voir diminuer le nombre des accès illégitimes ; en effet, si la gestion est bien conduite, la baisse suivra la même courbe que celle de la gestion des événements indésirables dans les unités de soins, dont le nombre a largement diminué suite aux actions de contrôle. Les accès illégitimes pourraient d’ailleurs être traités comme un "évènement indésirable" avec une communication efficace. ­

Comment limiter les inconvénients de cette pratique, sans nuire à son efficacité ?­

­(1) Limiter les risques d'accès illégitimes­ Deux populations de patients peuvent faire l'objet d'un traitement particulier : les patients faisant partie du personnel de l'établissement et les patients dits "VIP". Dans ce cas, le mode "bris de glace" automatique peut être désactivé : l'autorisation d'accès en dehors du cas standard est donnée explicitement, au cas par cas, par la personne chargée d'administrer les droits d'accès. Il faut cependant évaluer le rapport coût/bénéfice de cette option : l'augmentation de la charge pour la personne responsable d'administrer les droits d'accès est proportionnelle à la population dite "sensible". D'autre part, cette différenciation pose des problèmes en termes éthiques (égalité de traitement des patients aux vues de leur droit à la protection de leurs données). ­

(2) Améliorer l'efficacité des contrôles a posteriori­ Le contrôle a posteriori n'a d'effet que s'il permet de détecter des accès illégitimes. La mise en œuvre de dispositifs sophistiqués d'analyse des journaux d'accès peut s'avérer nécessaire. Ils peuvent être réalisés par des outils sophistiqués d’analyse contextuelle en mode apprentissage (IAD), capables d’exclure de l’analyse des traces les accès hors délégation réellement légitimes. Nous pouvons citer comme 1er exemple le cas d’un intervenant dans la prise en charge noté comme tel dans le DPI, venant a postériori consulter les résultats dans le cadre du suivi du patient. En 2ème exemple, le cas d’un avis d’expert d’une autre spécialité venant donner un avis sur une des comorbidités du patient multi-pathologique (fréquents à l’hôpital). Les nouvelles gammes d’outils vectoriels d’analyse de données parus sur le marché, apparentés à de l’intelligence artificielle, permettent de réaliser ce type de recherches prédictives multifactorielles et de détecter des comportements suspects…

­(3) Communiquer largement et régulièrement auprès du personnel de l’hôpital, auprès de la commission des soins, lors de l’accueil des nouveaux arrivés, sur les contrôles réalisés et les sanctions prises, ceci afin de couper court aux pratiques déviantes : « la peur du gendarme ».

Les conditions minimales pour que cette pratique soit acceptable­

L’exploitation des traces d’accès de connexion s'assimile à du contrôle d’activité.

Afin de pouvoir la réaliser, il faut :

  • Préalablement à la mise en place du contrôle, une information des personnes dans la charte de la confidentialité, d’utilisation des TIC, et de la Sécurité du Système d’information, sur la traçabilité réalisée et les contrôles. Cette charte doit être acceptée nominativement par les utilisateurs, par exemple à la connexion au SI.
  • Une déclaration des traces à la CNIL, ou, en présence d'un CIL, une mention sur le registre du CIL.
  • Une politique générale d'habilitation bien définie : cf. avis d'expert d'Hélène SOL.
  • Une politique de communication envers les utilisateurs vigoureuse : sur les contrôles réalisés et les mesures disciplinaires prises, ainsi que les risques pénaux encourus : conscientiser l'ensemble du personnel.
  • Une commission de la confidentialité pour interroger et sanctionner les personnes ayant réalisé les accès illégitimes, composée du DIM, du Responsable de la Sécurité des Systèmes d’Information, d’un médecin représentant de la CME, d’un cadre représentant la direction des soins, un représentant de la commission des soins, de la DSI. Cette commission opérera sans avertissement les investigations nécessaires au respect de la confidentialité de l’accès aux données personnelles de santé du système d'information.

Dans l’avenir ?

Le paramétrage des parcours de soins par groupe homogène de patients permettrait, pour les parcours identifiables à l’entrée (exclusion des polypathologies), pour un patient qui "entre" dans le parcours, d'anticiper les professionnels concernés par ce parcours. Dans ce cas, lors d'un accès au DPI, le professionnel pourrait s’identifier en précisant le lien avec le parcours et ainsi éviter ce qui est tracé aujourd’hui comme des bris de glace....

Le guide ANAP Hôpital Numérique débuté sur l'informatisation des chemins cliniques devrait apporter quelques réponses.

Retrouvez le catalogue des productions des experts HN.

Cette réponse vous paraît-elle utile ?
Date de parution : 04/01/2016

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Inscription

Vous êtes actuellement sur la page consacrée à Comprendre comment gérer les droits d’accès au DPI (Avis d'experts) qui traite de Chef de projet.

Vous êtes perdu ?

Haut de page