WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Dossier médical informatisé des travailleurs soumis à  la surveillance de santé

( Télécharger le fichier original )
par Jean-Frédéric Delinte
ICHEC - FUNDP - Certificat en management de la sécurité des systèmes d'information  2012
  

précédent sommaire suivant

6. Les contraintes organisationnelles et informatiques

Les contraintes de la sécurité de l'information ont été très importantes tout au long de la mise en place du projet du dossier médical informatisé. Nous avons progressé étape par étape. Au départ du projet, nous n'avons malheureusement pas été associés au groupe de travail. Au vu de l'importance du projet et du rôle important pris par la sécurité, nous avons de notre propre initiative offert nos servicesen démontrant la réelle plus-value que nous pouvions apporter.

La première contrainte rencontrée est organisationnelle. LeDirecteur Médical a une mission conceptuelle dans la sécurité de l'information. Il détecte et détermine les problèmes de sécurité etfixeles objectifs de celle-ci. Il indique au service sécurité les menaces relatives à la protection des données médicales à caractère personnel. Il est responsable du traitement des données si le dossier de santé fait l'objet d'un traitement automatisé (AR 28/05/2003relatif à la surveillance de la santé des travailleurs Section 8 - Art 93).

Le service de sécurité s'est donc mis à la disposition du Directeur Médical et lui a fait part de son enthousiasme à pouvoir l'aider dans ce projet.

Le service médical n'étant pas demandeur et ne voyant pas en quoi les aspects de sécurité apporteront une réelle plus-value dans le projet, le premier travail a consisté à décrire les risquesjuridiques principaux encourus et à démontrer ensuite l'importance de la mise en place d'une véritable politique de prévention.Nous en avons profité pour rappeler les différentes recommandations de l'Ordre des Médecins concernant la gestion des bases de données médicales (15/06/2002) et leur interprétation quant à l'application de la loi sur les droits du patient du 22/08/2002.

La deuxième contrainte que nous avons rencontrée était d'ordre opérationel : s'il fallait mettre une politique de sécurité en place, celle-ci ne pouvait pas ralentir le projet, ni alourdir la programmation ou augmenter le temps de travail des consultations et encore moins avoir un coût important.

Pour cette partie, nous avons négocié des mesures en adéquation avec les risques juridiques que nous pouvions encourir. Dans l'arrêté royal du 28/05/2003 relatif à la surveillance de la santé des travailleursArt. 92, il est clairement stipulé que nous devons nous conformer aux dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée.

Nous avons démontré facilement que nous étions bien en présence de données à caractère personnel, plus spécifiquement de données médicales (LVP art 7). Nous avions bien l'obligation légale de protéger nos données de manière adéquate sauf si le Directeur Médical assume cette partie du risque.

La deuxième partie du travail a donc été de déterminer la manière la plus adéquatede protéger nos données sensibles. Par facilité, nous sommes partis du questionnaire de la commission de la vie privée pour pouvoir utiliser le numéro national dans les échanges. Celui-ci, jugé trop complexe, a provoqué une réaction de rejet. Nous avons alors retravaillé les questions pour permettre de faciliter l'élaboration du cahier de charge de la sécurité du dossier médical.

L'apport en sécurité de l'information dans le projet a servi également à l'adhésion des médecins pour lesquels le respect du secret médical est obligatoire (l'article 458 du code pénal et Code de déontologie médicale, articles 55-70 sur le Secret professionnel du médecin).

La troisième contrainte que nous avons rencontréeest le manque de prise en compte global de la sécurité par le service informatique. Depuis des années, l'informatique a développé ses propresprocédures et règles de sécurité.Celle-cin'est évaluée qu'en fonction des incidents qui se sont produits. La transparence n'est pas de mise, les demandes de contrôle sont perçues commesuperflues voire inconvenantes.

La fiabilité du réseau sur lequel le dossier médical informatisé allait être installé n'ayant pas été démontrée avec conviction, un audit global du service, du réseau et de la sécurité informatique a été réalisé. Cet audit nous a permis de mettre en évidence de nombreux points de non-conformité. Ceux-ci n'ont pas remis en cause l'installation du dossier médical informatisé mais la réorganisation complète du service et des procédures de travail.

Une troisième partie de notre travail a été d'apporter notre soutien au service médical en réalisant un inventaire des actions déjà mises en placeet une réflexion en profondeur afin que le projet puisse démarrer dans de bonnes conditions.

Nous avons demandé au service médical d'attirer l'attention du service informatique sur les points suivants :

1. Sécurité dans la programmation

a. Comment les besoins en sécurité ont-ils été intégrés dans la programmation

b. Programmation défensive(expl. : contrôles des entrées / sorties)

c. Outils de vérification (de type checkers), outils de recherche de failles

d. Existence de tests locaux et/ou d'intégration

e. L'aspect maintenance et versionning

2. Sécurité de la base des données

a. Gestion des accès aux tables et aux données

b. Cryptage d'informations

c. Existence d'un administrateur des données organisationnelles

d. Existence d'un administrateur de la DB au niveau technique

e. Gestion des logs et de leurs accès

f. Backup des données et de la structure

3. Sécurités des échanges

a. Externe : labos,...  (+ ! contrats -> LVP)

b. Interne : synchros

c. Le type de cryptage (clés symétriques, asymétriques, utilisation de certificats,...)

4. Le niveau de sécurité de notre réseau

a. Comment les couches application, transport et réseau sont sécurisées

b. Problématique de l'IPV6  - IPV4

c. Analyse du trafic / gestion du firewall

d. Filtrage des données (contenu autorisé ou pas)

e. Entrée sécurisée dans notre réseau

La quatrième contrainte est la méconnaissance de la problématique par le personnel de la sécurité des informations ainsi que le manque de maîtrise des outils informatiques. Une première évaluation des connaissances des différents acteurs au niveau des outils informatiques a été réalisée. Pour la sécurité de l'information, nous avons établi un canevas ainsi qu'un planning de formation des utilisateurs avec le DirecteurMédical.

Cette formation sera ciblée sur le dossier médical informatisé et aura comme objectifs d'informer et de former les personnes aux différentes législations en la matière, de leur faire prendre conscience de l'importance de la sécurité de l'information del'engagement au niveau de la confidentialité et du respect des règles de sécurité de l'information.

Nous en avons profité pour rédiger unesynthèse à l'attention des utilisateurs reprenant quinze points importants.

Lors de l'utilisation d'un dossier informatisé, les utilisateurs auront l'impression qu'ils ont accès à moins d'informations et avec plus de contrôles qu'auparavant dans le dossier papier où il n'y a aucune restriction d'accès à l'information.

Chaque utilisateur sera sensé utiliser les données auxquelles il a accès à usage professionnel. Dans leur gestion quotidienne, les utilisateurs s'engageront à respecter et à faire respecter la protection de la vie privée de toute personne qui vient en consultation au CESI. Ils n'accèderont aux données de santé et administratives que pour les personnes prises en charge uniquement dans un contexte professionnel.

précédent sommaire suivant