Pièges et particularités techniques
À partir de 2020, les hôpitaux et les cliniques doivent pouvoir travailler avec le dossier électronique du patient (DEP), et les maisons de retraite à partir de 2022. Le secteur ambulatoire n'est soumis à aucun délai, et la participation au DEP est volontaire pour la population. Management and Quality a interviewé Claudio Fuchs, un expert en gestion des autorisations, pour discuter des pièges de l'introduction de la DEP.
La Suisse est à la traîne par rapport à d'autres pays en matière de numérisation des services publics. En revanche, dans le secteur de la santé, les choses sont désormais sur le point d'aller de l'avant : À partir de 2020, le dossier médical électronique (DEP) remplacera progressivement les dossiers médicaux sur papier. Il va sans dire que la protection des données dans ce domaine sensible doit être une priorité absolue. Et : tout le monde n'est pas autorisé à accéder aux données électroniques des patients. En conséquence, de nombreuses cliniques sont confrontées à des défis organisationnels et procéduraux. Par exemple, la gestion de l'identité est nécessaire.
Avec l'introduction de l'EPD, il y aura quelques changements dans la gestion des utilisateurs et des autorisations. À partir d'avril 2020, les hôpitaux devront pour la première fois exploiter un système de gestion de l'identité. M. Fuchs, qu'est-ce que cela signifie exactement pour des spécialistes comme vous ?
Tout d'abord, deux points : Premièrement, les patients ont toujours la souveraineté sur l'accès. Les patients devraient donc avoir un contrôle total sur leurs propres données. Cependant, la gestion électronique de données particulièrement sensibles est complexe. Cela signifie, par exemple, que les prestataires de services doivent indiquer clairement le personnel qui les traite, afin que les patients soient informés de leur accès et puissent l'empêcher s'ils le souhaitent. En Suisse, il est également prévu que les patients puissent fixer des autorisations positives et négatives pour les rapports individuels.
Mais passons maintenant au deuxième point : d'une manière générale, il convient de faire la distinction entre le dossier classique du patient en tant que documentation primaire et le nouveau dossier en tant que documentation secondaire. Lorsque les patients sont admis, le DEP doit être téléchargé à partir d'un répertoire central de la communauté des parents afin qu'il puisse être complété et téléchargé à nouveau à la sortie. Le patient détermine quelles parties du dossier sont visibles par quels hôpitaux ou médecins, et a donc le contrôle de ses propres données, son dossier électronique. Les hôpitaux et les participants ultérieurs au processus de traitement sont légalement tenus d'être reliés à une communauté de base d'ici avril 2020.
Voyez-vous d'autres zones d'ombre techniques qui ne sont pas faciles à appréhender ?
L'une d'elles est la transformation des dossiers en dépôts de données sécurisés. Cependant, il y a aussi des problèmes moins techniques, comme le taux de rotation du personnel, qui posent également des difficultés. Du point de vue de la gestion des utilisateurs et des autorisations, il existe deux grands domaines d'activité : Premièrement, l'identification et l'authentification du personnel médical et de soutien pour l'accès au dossier à la communauté de base et la délivrance des identifiants nécessaires (interface ITI40 selon l'architecture de référence IHE). D'autre part, la transmission des données personnelles actuelles et correctes du personnel médical et auxiliaire concerné à la communauté de base (interface ITI59 selon l'architecture de référence de l'IHE).
Les hôpitaux sont-ils prêts pour cela et quels sont les principaux obstacles en matière de gestion des utilisateurs et des autorisations de DEP ?
Certains hôpitaux ont déjà examiné en détail de nombreux aspects du DEP, notamment la gestion des utilisateurs et des autorisations. D'autres en sont encore au tout début et se rendent compte des changements qu'apportera le DEP. Un obstacle majeur est la préparation et la conception de la gestion de l'identité. En effet, chaque employé de l'hôpital doit être identifié par une carte d'identité électronique. Cela permet la gestion numérique des comptes d'utilisateurs associés dans les systèmes et applications ainsi que des moyens d'identification, tels que les badges ou la SuisseID. Cette identité doit être correctement remplie avec des attributs tels que le nom, la profession, le titre, le numéro de médecin unique ou l'institut et régulièrement transmise à une communauté de maîtres. Tout cela n'est possible qu'avec un système IAM automatisé qui peut également fournir ces qualités et cette sécurité requises.
Toutes ces exigences nécessitent une solution universelle pour l'authentification. Que recommandez-vous aux hôpitaux concernant les programmes d'application à intégrer - "make or buy" ?
C'est vraiment un grand point ouvert en ce moment. C'est pourquoi je ne recommande pas de prendre une décision à ce sujet maintenant. Je recommande que les services responsables de la délivrance de ces moyens d'identification soient examinés en interne et que les tâches correspondantes soient prévues dans les processus d'entrée et de sortie des employés, mais qu'aucun achat technique ne soit encore effectué. Il est également à prévoir qu'un certain nombre de prestataires seront encore
Afin de garantir que seul le personnel médical autorisé accède au DEP, les hôpitaux ont besoin d'un système de gestion de l'identité. Si un hôpital a la possibilité d'agir en tant que fournisseur d'identité, il peut essentiellement décider lui-même du processus et de la technologie des moyens d'identification. Ces moyens d'identification ne doivent plus être de nature physique, mais peuvent fonctionner avec des applications et des téléphones intelligents, par exemple.
Certains hôpitaux utilisent déjà l'authentification multifactorielle. Dans certaines circonstances, il peut être étendu de manière à ce que les exigences soient respectées et que les employés puissent en être équipés de manière très souple. Mais l'inverse est également vrai ; pour les petits hôpitaux, il se peut que cet effort et les coûts soient trop élevés et qu'ils s'approvisionnent donc sur le marché libre. La direction de l'hôpital ferait bien d'examiner attentivement les différentes options.
Et le DEP fonctionne-t-il, y a-t-il déjà des projets - au mieux une conclusion ?
Oui, il y en a un. Le canton de Genève a lancé une sorte de "EPD light" comme projet pilote et l'a évalué en 2017. Il s'est avéré que de nombreux patients dans les agglomérations urbaines sont susceptibles d'opter pour l'avenir numérique. En peu de temps, environ 28 000 patients ont été enregistrés, ce qui correspond à environ 5 % de la population genevoise.
Voyez-vous d'autres points en suspens qui devraient être clarifiés par la suite ?
Si vous vous posez la question : une planification systématique et en temps utile est la solution. Il ne s'agit pas seulement de questions de procédure lors de l'installation du logiciel, il s'agit également de définir les multiples affectations du personnel (par exemple, en tant que médecin-chef et en même temps en tant que médecin traitant). Les responsabilités organisationnelles doivent être définies à un stade précoce. Les départements des ressources humaines sont les premiers à être mis en avant. Les RH, l'informatique, les médecins et les infirmières doivent travailler en étroite collaboration. Il est important de ne pas considérer les processus comme étant isolés à un seul département. Cela ne serait pas efficace. Les hôpitaux doivent veiller, par exemple, à ce que les médecins soient aussi proches que possible du patient. Les RH, l'informatique, les médecins et les infirmières doivent travailler en étroite collaboration. Il est important de ne pas considérer les processus de manière isolée pour un seul département. Cela ne serait pas efficace. Les hôpitaux doivent, par exemple, veiller à ce que les médecins soient disponibles le plus rapidement possible.