Téléchargement (210.5 ko) - Ministère chargé de la Santé

Elle pose des règles permettant d'assurer la sécurité et la performance du
système ... transmise par des réseaux informatiques privés ou internet, par la
poste, .... La communication d'informations médicales (exemples : résultats d'
examens, ?) ...

Part of the document


Fiche pratique 7 : Charte type d'accès et d'usage du système d'information Contexte de la fiche pratique Le socle commun du programme Hôpital numérique est constitué : . De 3 pré-requis indispensables pour assurer une prise en charge du
patient en toute sécurité.
- Identités, mouvements ;
- Fiabilité - disponibilité ;
- Confidentialité. . De 5 domaines fonctionnels pour lesquels le programme définit des
exigences en matière d'usage du système d'information.
- Les résultats d'imagerie, de biologie et d'anapath ;
- Le dossier patient informatisé et interopérable ;
- La prescription électronique alimentant le plan de soins ;
- La programmation des ressources et l'agenda du patient ;
- Le pilotage médico-économique. Le pré-requis « Confidentialité » comprend 5 indicateurs, dont l'indicateur
P3.2 portant sur l'existence d'une charte ou d'un document formalisant les
règles d'accès et d'usage du système d'information, en particulier pour les
applications gérant des informations de santé à caractère personnel,
diffusé au personnel, aux nouveaux arrivants, prestataires et
fournisseurs[1], ainsi qu'aux instances représentatives du personnel. Dans le cadre de l'outillage des établissements de santé par la DGOS pour
l'atteinte des pré-requis du programme Hôpital numérique, la présente fiche
pratique portant sur la Charte d'accès et d'usage du système d'information
est mise à la disposition des établissements de santé.
Présentation de la fiche pratique La présente Charte type a pour objectif de décrire les règles d'accès et
d'utilisation des ressources informatiques et des services Internet d'un
établissement de santé et rappelle aux utilisateurs les droits et les
responsabilités qui leur incombent dans l'utilisation du système
d'information, conformément à la politique de sécurité des systèmes
d'information définie par l'établissement de santé. L'établissement de
santé veillera à présenter la Charte aux instances décisionnaires et à en
assurer la publicité maximale auprès des utilisateurs. Pour accompagner les établissements dans l'élaboration d'une Charte d'accès
et d'usage du système d'information (à partir de la présente fiche
pratique) adaptée à leur contexte et leur organisation sont distingués ci-
après dans le document par un code couleur :
- En violet encadré, des explications sur l'objet et le contenu d'une
section, ainsi que des informations ayant vocation à accompagner
l'établissement dans l'élaboration de sa propre Charte. Ces indications
doivent être supprimées de la Charte avant sa diffusion au sein de
l'établissement. - En bordeaux, des informations propres à chaque structure. Ces
informations doivent donc être renseignées et contextualisées par
l'établissement lors de l'élaboration de la Charte d'accès et d'usage
du système d'information. - En noir, des éléments d'ordre générique qui peuvent constituer la base
de la Charte d'accès et d'usage du système d'information de
l'établissement ; ces éléments pouvant être modifiés / complétés par
l'établissement de santé. 1. Objet du document
La présente Charte a pour objet de décrire les règles d'accès et
d'utilisation des ressources informatiques et des services Internet du
[indiquer le nom de l'établissement de santé] et rappelle à ses
utilisateurs les droits et les responsabilités qui leur incombent dans
l'utilisation du système d'information. Elle pose des règles permettant d'assurer la sécurité et la performance du
système d'information de l'établissement, de préserver la confidentialité
des données dans le respect de la réglementation en vigueur et des droits
et libertés reconnus aux utilisateurs, conformément à la politique de
sécurité du système d'information définie par l'établissement. Cette Charte a été validée par la Direction générale de l'établissement.
Préalablement, elle a été notifiée à sa mise en ?uvre au Comité
d'Etablissement et à la Commission médicale d'Etablissement. Elle constitue
une annexe au Règlement Intérieur de l'établissement. Les membres du
personnel et les personnels extérieurs sont invités à en prendre
connaissance. La Charte est mise à leur disposition sur l'Intranet et
affichée dans les locaux de l'établissement de santé. La Charte d'accès et d'usage du système d'information doit être validée
conjointement par la Direction générale et la Commission médicale de
l'établissement. Elle constitue une annexe au Règlement intérieur. 2. Champ d'application
|Cette section décrit le périmètre d'application de la présente Charte |
|et précise les utilisateurs du système d'information de l'établissement|
|qui sont concernés par celle-ci. | La présente Charte concerne les ressources informatiques, les services
internet et téléphoniques du [indiquer le nom de l'établissement de santé],
ainsi que tout autre moyen de connexion à distance permettant d'accéder,
via le réseau informatique, aux services de communication ou de traitement
électronique interne ou externe.
Il s'agit principalement des ressources suivantes :
. Ordinateurs de bureau ;
. Ordinateurs portables ;
. Terminaux portables ;
. Imprimantes simples ou multifonctions ;
. Tablettes ;
. Smartphones ;
. [Ajouter toute autre ressource que la structure souhaite intégrer au
périmètre de la Charte]. Cette Charte s'applique à l'ensemble du personnel de l'établissement de
santé, tous statuts confondus, et concerne notamment les agents permanents
ou temporaires (stagiaires, internes, doctorants, prestataires,
fournisseurs, sous-traitants, ...) utilisant les moyens informatiques de
l'établissement et les personnes auxquelles il est possible d'accéder au
système d'information à distance directement ou à partir du réseau
administré par l'établissement.
Dans la présente Charte, sont désignés sous les termes suivants :
. Ressources informatiques: les moyens informatiques, ainsi que ceux
auxquels il est possible d'accéder à distance, directement ou en
cascade à partir du réseau administré par l'entité ;
. Outils de communication : la mise à disposition par des serveurs locaux
ou distants de moyens d'échanges et d'informations diverses (web,
messagerie, forum, etc.) ;
. Utilisateurs : les personnes ayant accès ou utilisant les ressources
informatiques et les services internet de l'établissement.
3. Cadre réglementaire
Le cadre réglementaire de la sécurité de l'information est complexe. Il
porte sur les grands thèmes suivants : . Le traitement numérique des données, et plus précisément :
- Le traitement de données à caractère personnel et le respect de la
vie privée ;
- Le traitement de données personnelles de santé ; . Le droit d'accès des patients et des professionnels de santé aux
données médicales ; . L'hébergement de données médicales ; . Le secret professionnel et le secret médical ; . La signature électronique des documents; . Le secret des correspondances ; . La lutte contre la cybercriminalité ; . La protection des logiciels et des bases de données et le droit
d'auteur. La présente Charte d'accès et d'usage du système d'information tient compte
de la réglementation sur la sécurité de l'information en vigueur et des
droits et libertés reconnus aux utilisateurs.
4. Critères fondamentaux de la sécurité
4.1 Principes L'établissement de santé héberge des données et des informations médicales
et administratives sur les patients (dossier médical, dossier de soins,
dossier images et autres dossiers médico-techniques, ...), et sur les
personnels (paie, gestion du temps, évaluations, accès à Internet et à la
messagerie, ...).
L'information se présente sous de multiples formes : stockée sous forme
numérique sur des supports informatiques, imprimée ou écrite sur papier,
imprimée sur des films (images), transmise par des réseaux informatiques
privés ou internet, par la poste, oralement et/ou par téléphone,...
La sécurité de l'information est caractérisée comme étant la préservation
de :
. Sa disponibilité : l'information doit être accessible à l'utilisateur,
quand celui-ci en a besoin;
. Son intégrité : l'information doit être exacte, exhaustive et conservée
intacte pendant sa durée de vie ;
. Sa confidentialité : l'information ne doit être accessible qu'aux
personnes autorisées à y accéder ;
. Sa traçabilité : les systèmes doivent comporter des moyens de preuve
sur les accès et opérations effectuées sur l'information.
4.2 Une mission sécurité [Indiquer le nom de la direction / département de l'établissement en charge
des systèmes d'information] fournit un système d'information qui s'appuie
sur une infrastructure informatique. Elle doit assurer la mise en sécurité
de l'ensemble c'est-à-dire protéger ces ressources contre des pannes, des
erreurs ou des malveillances. Elle doit aussi protéger les intérêts
économiques de l'établissement en s'assurant que ces moyens sont bien au
service de la production de soins. Elle doit donc définir et empêcher les
abus. 4.3 Un enjeu technique et organisationnel Les enjeux majeurs de la sécurité sont la qualité et la continuité des
soins, le respect du cadre juridique sur l'usage des données personnelles
de santé. Pour cela, [indiquer le nom de la direction / département de
l'établissement en charge des systèmes d'information] déploie un ensemble
de dispositifs techniques mais aussi