Les pièges du dossier patient électronique EPD
D'ici 2020, les hôpitaux, les maisons de repos, les médecins généralistes et les laboratoires devront s'aligner sur le dossier électronique du patient (DEP). Ils sont légalement tenus de le faire. Management und Qualität a interviewé *Claudio Fuchs, un expert en gestion des autorisations, pour discuter des pièges de l'introduction de la DPE.
Avec l'introduction de l'EPD, il y aura quelques changements dans la gestion des utilisateurs et des autorisations. À partir d'avril 2020, les hôpitaux devront pour la première fois exploiter un système de gestion de l'identité. M. Fuchs, qu'est-ce que cela signifie exactement pour des spécialistes comme vous ?
Tout d'abord, deux points ; les patients ont toujours la souveraineté sur les accès. Le patient doit donc avoir le plein contrôle de ses propres données. Cependant, la gestion électronique de données particulièrement sensibles est complexe. Cela signifie, par exemple, que les prestataires de services doivent préciser le nom de leur personnel de traitement afin que les patients soient informés de leur accès et puissent l'empêcher s'ils le souhaitent.
En Suisse, il est prévu que les patients puissent fixer des autorisations positives et négatives sur des rapports individuels.
Mais passons maintenant au deuxième point : d'une manière générale, il convient de faire la distinction entre le dossier classique du patient en tant que documentation primaire et le nouveau dossier en tant que documentation secondaire. L'EPD doit être téléchargé à partir d'un répertoire central de la communauté principale lors de l'admission des patients, afin qu'il puisse être complété et téléchargé à nouveau lors de leur départ.
Le patient détermine quelles parties du dossier sont visibles par quels hôpitaux ou médecins et a donc le contrôle de ses propres données, son dossier électronique. Les hôpitaux et les participants ultérieurs au processus de traitement sont légalement tenus d'être reliés à une communauté de base à partir d'avril 2020.
Voyez-vous d'autres zones d'ombre techniques qui ne sont pas faciles à appréhender ?
L'une d'entre elles est la transformation des dossiers en des magasins de données sécurisés. Cependant, il y a aussi des problèmes moins techniques comme le taux de rotation du personnel, qui posent néanmoins aussi des défis. Du point de vue de la gestion des utilisateurs et des autorisations, il existe deux grands domaines d'action :
- L'identification et l'authentification du personnel médical et de soutien pour l'accès au dossier à la communauté de base et la délivrance des moyens d'identification nécessaires (interface ITI-40 selon l'architecture de référence de l'IHE) et
- la transmission des données personnelles actuelles et correctes du personnel médical et auxiliaire concerné à la communauté de base (interface ITI-59 selon l'architecture de référence de l'IHE).
Les hôpitaux sont-ils prêts pour cela et quels sont les principaux obstacles en matière de gestion des utilisateurs et des autorisations de DEP ?
La situation est variable ; il y a des hôpitaux qui ont déjà examiné en détail de nombreux aspects de la DEP, y compris la gestion des utilisateurs et des autorisations, et d'autres qui n'en sont qu'au tout début et qui réalisent les changements que la DEP va apporter. Un obstacle majeur est la préparation et la conception de la gestion de l'identité. Parce que chaque employé de l'hôpital doit être identifié par une carte d'identité électronique.
Cela permet la gestion numérique des comptes d'utilisateurs associés dans les systèmes et applications ainsi que des moyens d'identification, tels que le badge ou la SuisseID. Cette identité doit être correctement remplie avec des attributs tels que le nom, la profession, le titre, le numéro de médecin unique ou l'institut et régulièrement transmise à une communauté de maîtres. Tout cela n'est possible qu'avec un système IAM automatisé qui peut également offrir ces qualités et cette sécurité requises.
Toutes ces exigences nécessitent une solution universelle pour l'authentification. Que recommandez-vous aux hôpitaux concernant les programmes d'application à intégrer - "make or buy" ?
C'est vraiment un grand point ouvert en ce moment. Je vous déconseille donc de prendre une décision à ce sujet maintenant. Je recommande d'examiner en interne les bureaux responsables de la délivrance de ces moyens d'identification et de prévoir également les tâches correspondantes dans les processus d'entrée et de sortie des employés, mais de ne pas encore procéder à un achat technique.
Il faut également s'attendre à ce que d'autres prestataires apparaissent sur le marché et fassent intervenir de nouvelles compétences. Ainsi, si un hôpital a la possibilité d'agir en tant que fournisseur d'identité, il peut essentiellement décider lui-même du processus et de la technologie des moyens d'identification. Ces moyens d'identification ne doivent plus être de nature physique, mais peuvent fonctionner avec des applications et des smartphones, par exemple.
Certains hôpitaux utilisent déjà l'authentification multifactorielle. Dans certaines circonstances, il peut être étendu afin que les exigences soient respectées et que les employés puissent en être équipés de manière très flexible. Mais aussi l'inverse ; pour les petits hôpitaux, il se peut que cet effort et les coûts soient trop importants, trop chers et qu'ils s'approvisionnent donc sur le marché libre. La direction de l'hôpital ferait bien d'examiner attentivement les différentes options.
Et le DEP fonctionne-t-il, y a-t-il déjà des projets, au mieux une conclusion ?
Oui, il y en a un. Le canton de Genève a lancé une sorte de "EPD light" comme projet pilote et l'a évalué en 2017. Il s'est avéré que, probablement dans les agglomérations urbaines, de nombreux patients comptent sur l'avenir numérique. En peu de temps, environ 28 000 patients ont été enregistrés, ce qui correspond à environ 5 % de la population genevoise.
Voyez-vous d'autres points en suspens qui devraient être clarifiés par la suite ?
Si vous posez cette question, la planification systématique et en temps voulu est la solution. Il ne s'agit pas seulement de questions de procédure lors de l'installation du logiciel, il s'agit aussi de définir les affectations multiples du personnel (par exemple en tant que médecin en chef et en même temps en tant que médecin traitant). Les responsabilités organisationnelles doivent être réglementées à un stade précoce.
Les services des ressources humaines sont les premiers à être mis en avant. Les RH, l'informatique, les médecins et les infirmières doivent travailler en étroite collaboration. Il est important de ne pas considérer les processus de manière isolée pour un seul département. Cela ne serait pas efficace. Les hôpitaux doivent s'assurer, par exemple, que les médecins disposent d'un moyen d'identification dès leur premier jour de travail.
Comme pour une banque, les entrées doivent être déclarées dans leur intégralité à un stade précoce, et l'informatique doit enregistrer correctement les moyens d'identification et les personnes concernées dans la communauté des maîtres.
*Claudio Fuchs, directeur général pour la Suisse et l'Autriche, IPG, est responsable et coordonne les activités de projet d'IPG en Suisse et en Autriche. Claudio Fuchs s'occupe du thème de l'AIM depuis environ 12 ans. Il a occupé divers postes d'expert en AIM et possède une expertise allant de la gestion de projet à la mise en œuvre. Claudio Fuchs occupe un emploi à temps partiel en tant que chargé de cours pour la gestion de projets et de la qualité dans une université suisse.
