L'accès au dossier patient informatisé : Bilan 1 an après le rappel de la CNIL

La CNIL a publié un article il y a un an sur les bonnes pratiques d’accès au Dossier Patient Informatisé (DPI), suite à des contrôles effectués auprès de 13 établissements de santé. 

Les principaux éléments qui ressortent de ces contrôles sont des mesures de sécurité informatique et une politique de gestion des habilitations parfois inadaptées aux exigences des établissements notamment sur le concept du “besoin d’en connaître”.

Les points de contrôle et de non conformité soulevés ont, notamment, pour conséquences : 

• une rupture du secret médical est avérée ;

• une violation de donnée lorsqu'une consultation non autorisée de données de santé a lieu ;

• et enfin, il serait possible d’envisager la survenance d’un incident de sécurité si l’on considère que les mesures du système d’information ne sont pas paramétrées pour empêcher cette consultation de dossier intempestive. 

A ce titre, la solution logicielle du dossier patient informatisé doit pouvoir fournir des paramètres d’une granularité fine applicables aux habilitations. Cela fait partie d’une exigence de la part du responsable de traitement (établissement de santé) envers son sous-traitant (éditeur de logiciel). Cette relation de sous-traitance sera l’objet d’un article à venir sur notre blog.

La CNIL décrit dans son article les bonnes pratiques à mettre en place pour les accès au DPI : la mise en place d’habilitations fines, le bris de glace et la journalisation des accès accompagnés des nécessaires contrôles (souvent coûteux en ressources humaines) pour vérifier l'effectivité des mesures. 

Afin d’avoir une vision holistique des bonnes pratiques d’accès au DPI, Dr Data propose la carte mentale à retrouver ci-dessous.