Novembre 2010 - CSSS de Dorval-Lachine
Transcription
Novembre 2010 - CSSS de Dorval-Lachine
Novembre/Décembre 2010 Volume 4, numéro 7 APPRENDRECONTRIBUERVIVRE Une publication du Centre de santé et de services sociaux de Dorval-Lachine-LaSalle MOT DU DIRECTEUR GÉNÉRAL LA CONFIDENTIALITÉ AU CSSS DLL CONFIDENTIALITÉ ET SÉCURITÉ VONT DE PAIR (SLOGAN DE LA SEMAINE DE LA CONFIDENTIALITÉ) Dans le but de réfléchir à l’importance de respecter la vie privée et de protéger la confidentialité, une équipe du CSSS DLL, composée des archivistes médicales et d’employés des ressources informationnelles, de la gestion des risques et de la qualité, des soins infirmiers, des ressources humaines et des communications, s’est affairée à préparer la semaine de la confidentialité qui se tient du 21 au 27 novembre 2010. Le CSSS DLL profite de cette semaine pour rappeler au personnel, aux médecins et aux bénévoles l’importance de respecter la confidentialité, et ce, à tous les niveaux. Pour souligner cet événement, l’équipe mise en place distribue des affiches et des dépliants promotionnels et organise des kiosques d’information dans les différentes installations de notre CSSS. Nous profitons également de cette occasion pour faire la promotion de notre politique d’accès et de confidentialité, en plus de notre code d’éthique. La confidentialité est l’affaire de tous. Qu’il s’agisse d’une information figurant au dossier d’un patient ou d’un employé, ou simplement d’une personne vue au CSSS DLL, nous nous devons d’être discrets, car nous sommes tenus à la confidentialité. Je vous encourage tous à poursuivre votre excellent travail en ce sens. En terminant, rappelons-nous que la confidentialité n’est pas seulement importante durant cette semaine, mais tout le temps. Yves Masse Directeur général POINT DE VUE SÉCURITÉ DE L’INFORMATION page 1 Mot du directeur général Point de vue sur la sécurité de l’information pages 2 et 3 La confidentialité, une question de sécurité ! Blogue sur les réseaux sociaux Le rôle de la conseillère cadre pages 4 et 5 Dix bonnes pratiques La confidentialité pages 6 et 7 La sécurité des actifs informationnels Une situation sans mauvaise intention… À la découverte de nos professions Définitions page 8 Jeux méli-mélo Mots croisés Testez vos connaissances Jeux définitions Charade POINT DE VUE DE LA RESPONSABLE DE LA SÉCURITÉ DES ACTIFS INFORMATIONNELS SUR LA SÉCURITÉ DE L’INFORMATION Cette année, sous le thème « confidentialité et sécurité de l’information », la semaine de la confidentialité introduit la notion de sécurité de l’information : élément complémentaire à la confidentialité qui permet à l’ensemble du personnel et des professionnels de soutenir et d’orienter les enjeux reliés à l’information. Il me fait plaisir au nom du comité de sécurité des actifs informationnels de participer aux activités de la semaine de la confidentialité et de vous faire part du mandat de ce comité. En 2005, le MSSS a adopté un cadre global de gestion des actifs informationnels demandant à tous les établissements d’élaborer un plan directeur de sécurité de l’information et de mettre en place les mesures de sécurité prévues au cadre global en matière de sécurité de l’information. Comme requis, le CSSS a mis en place un comité de sécurité des actifs informationnels composé de représentants de la Direction générale, de la Direction des ressources financières et informationnelles, à savoir le responsable de la sécurité des actifs informationnels (RSAI) et le délégué à la sécurité, de la gestion des risques, de la Direction des ressources humaines et la Direction des services professionnels. Le mandat se résume comme suit : constituer un mécanisme de coordination sur la sécurité, proposer des orientations et faire des recommandations pour l’élaboration, la mise en œuvre et la mise à jour des mesures prévues au plan directeur de sécurité de l’information. Le comité doit assurer l’application des différentes mesures de sécurité de l’information, soutenir la mise en place des dispositions législatives et proposer des mesures communes pour assurer la disponibilité, l’intégrité, la confidentialité de l’information ainsi que l’authentification et l’irrévocabilité de l’usager s’appliquant à l’ensemble des actifs informationnels. Plusieurs développements technologiques en sécurité de l'information sont survenus ces dernières années. Il y a dix ans, personne ne parlait de la sécurité de l'information et aujourd'hui, tout le monde en parle et l’information est devenue la pierre angulaire dans plusieurs secteurs d’activité. Au début des années 2000, l’idée de se doter d’une politique de sécurité de l’information était pratiquement inexistante. Aujourd’hui, le cadre global sur les actifs informationnels impose à chaque conseil d’administration d’un établissement d’adopter une politique de sécurité pour l’ensemble des outils d’information tant papier qu’électroniques. Dans l’ensemble du réseau de la santé et des services sociaux, près de 96 % des établissements ont adopté une telle politique. Ici au CSSS DLL, le conseil d’administration a adopté la politique de sécurité de l’information en mars 2007. Cette politique est accessible sur l’intranet et décrit la portée et les principes directeurs. Nous comprenons que l'information dans le réseau de la santé et des services sociaux est une ressource stratégique à la base de la qualité et de l'efficacité des activités cliniques : • Les données non disponibles au bon moment ou erronées peuvent avoir un impact sur la sécurité même du patient. • L'information sur la santé est, sans aucun doute, la plus sensible pour le patient et elle doit être protégée en tout temps. • Il est important de garantir la disponibilité de l’information au moment voulu aux personnes autorisées seulement et de protéger son intégrité et sa confidentialité. Il nous faut donc continuer de gérer adéquatement les nouveaux risques posés par la circulation de l'information. Michelle Harvey Directrice des ressources financières et informationnelles APPRENDRECONTRIBUERVIVRE LA CONFIDENTIALITÉ, UNE QUESTION DE SÉCURITÉ ! LA DÉMARCHE D’AGRÉMENT NOUS SENSIBILISE À OFFRIR UNE PRESTATION DE SOINS ET DE SERVICES SÉCURITAIRES, EN RÉVISANT NOS PROCESSUS PRIORITAIRES, POUR MIEUX RÉPONDRE AUX BESOINS DE NOTRE POPULATION, DANS LE RESPECT DE LEURS DROITS LES PLUS FONDAMENTAUX. DANS LE CADRE DE LA SEMAINE DE LA CONFIDENTIALITÉ, NOUS ABORDERONS CETTE DIMENSION DANS UNE PERSPECTIVE DE SÉCURITÉ, AFIN QUE TOUS LES EMPLOYÉS COMPRENNENT BIEN LEUR RÔLE ET LEURS RESPONSABILITÉS À CET ÉGARD. La démarche d’agrément nous sensibilise à offrir une prestation de soins et de services sécuritaires, en révisant nos processus prioritaires, pour mieux répondre aux besoins de notre population, dans le respect de leurs droits les plus fondamentaux. Dans le cadre de la semaine de la confidentialité, nous aborderons cette dimension dans une perspective de sécurité, afin que tous les employés comprennent bien leur rôle et leurs responsabilités à cet égard. Le droit à la confidentialité du dossier protège dans les faits toute l’information qui se trouve dans le dossier de l’usager en vertu des dispositions de la Loi sur les services de santé et les services sociaux (LSSSS). L’établissement et tous les employés sont tenus par l’obligation de confidentialité afin d’assurer la protection des renseignements personnels de l’usager. Cette obligation ne se limite pas uniquement aux professionnels qui sont liés par le secret professionnel en vertu de leur code de déontologie et des lois professionnelles, mais aussi par les règles qui définissent les obligations de l’établissement pour assurer la protection du dossier de l’usager, en vertu de la Loi sur les archives et du Règlement sur l’organisation et l’administration des établissements. Ce qui signifie que le dossier de l’usager doit demeurer sous le contrôle de l’établissement. Le personnel non professionnel, le personnel administratif, les cadres, les employés d’entretien et autres sont également tenus par l’obligation de confidentialité en vertu des dispositions du Code civil du Québec (C.c.Q). Tous les employés professionnels ou non professionnels doivent respecter cette obligation, non seulement pendant la durée de leur emploi dans le réseau de la santé, mais pendant toute leur vie, car les renseignements qui leur ont été transmis dans le cadre de leurs fonctions sont en lien avec la réputation et le droit à la vie privée d’autrui, en vertu de la Charte des droits et libertés de la personne. 2 Ainsi, l’expansion des réseaux sociaux nous fait craindre que l’utilisation de ces outils augmente le risque de violation de la confidentialité, car il est de plus en plus facile de partager des renseignements avec ses amis Facebook sur l’hospitalisation d’une personnalité publique, d’un parent, d’un collègue de travail ou de toute autre personne de notre entourage. Cette situation contrevient aux règles juridiques et porte atteinte à l’intégrité et à la vie privée de la personne sans son consentement, même si vous la connaissez très bien. À cet égard, notre code d’éthique précise, comme suit, les droits de l’usager en matière de confidentialité et notre engagement à les respecter : DROITS DE L’USAGER • Avoir accès aux informations qui sont contenues dans son dossier, à moins que ces informations causent un préjudice grave à sa santé ou à celle des autres. • Être assisté d'un professionnel qualifié pour l'aider à comprendre les renseignements contenus dans son dossier. • Demander de transmettre à un autre établissement ou professionnel de l'information contenue dans son dossier et de la rectifier si elle s'avère inexacte ou incomplète. • Être assuré de la confidentialité des informations le concernant. NOTRE ENGAGEMENT • Respecter rigoureusement les règles de confidentialité applicables aux renseignements personnels de l’usager. • S’assurer de la pertinence et de l’intégrité des notes et des documents versés au dossier. • Veiller à ce que seules les personnes habilitées aient accès au dossier de l’usager. • Ne pas divulguer les renseignements confidentiels sans le consentement de l’usager ou à moins d’y être autorisé par la loi. Tous les jours, les employés doivent donc assurer la protection des renseignements personnels des usagers et demeurer vigilants. Ainsi, on évite d’échanger entre nous des renseignements sur l’état clinique d’un usager lorsque nous effectuons une tâche quelconque auprès d’un autre patient, client, résident ou auprès de sa famille. Par exemple, on doit aussi éviter de parler de l’état clinique d’un patient à un autre patient lorsqu’on le transporte en civière ou en fauteuil roulant. On doit toujours s’assurer de vérifier si le message laissé dans la boîte vocale est destiné à la bonne personne. Il est important d’éviter de diffuser de l’information sur les patients hospitalisés ou les résidents en hébergement lorsqu’on entre dans une chambre pour la nettoyer. On doit également éviter de transmettre de l’information confidentielle sur un usager à un autre collègue devant des visiteurs, pendant la pause, le repas, l’admission, un traitement, une consultation, etc. Ces quelques exemples visent seulement à illustrer comment il est possible de violer la confidentialité dans l’exercice de ses fonctions de tous les jours. Oui, la confidentialité, demeure une question de sécurité! C’est notre responsabilité à tous! Lynne E. Desmarais Adjointe à la Direction générale APPRENDRECONTRIBUERVIVRE BLOGUE SUR LES RÉSEAUX SOCIAUX LES PRÉOCCUPATIONS DU CSSS DLL LIÉES AUX RÉSEAUX SOCIAUX DONNENT SANS CONTREDIT MATIÈRE À RÉFLEXION SUR LA VEILLE ET LA STRATÉGIE DE GESTION. QUI NE PARTAGE PAS DES INFORMATIONS SUR UN RÉSEAU SOCIAL? COMMENT CES INFORMATIONS PEUVENT-ELLES ÊTRE UTILISÉES PAR LES EMPLOYÉS ŒUVRANT AU CSSS? L’univers des réseaux sociaux rattrape aujourd’hui une grande partie des organisations et soulève la question de l’utilisation, par les employés, des renseignements personnels qui s’y trouvent. Partager des informations, donner des nouvelles à ses proches, mettre en ligne les photos de ses dernières vacances ou de soirées bien arrosées, publier un texte, etc., peuvent avoir des conséquences. Les réseaux sociaux les plus connus sont Facebook, My Space et Twitter. Ces sites mettent en contact les membres d’un groupe qui partagent des informations souvent personnelles. L’intérêt du partage de l’information ouvre les portes à des bris de confidentialité. Lorsque, dans notre milieu de travail, nous sommes témoins d’événements touchant des personnes connues, leur divulgation constitue un bris de confidentialité et peut nuire à notre carrière professionnelle, à notre famille, voire mettre en péril la sécurité de notre identité. Toutes ces actions présentent un risque supplémentaire pour l’organisation sur le plan de la confidentialité et de la sécurité et nuiront à sa réputation. Il faut faire preuve de vigilance afin de vous prémunir contre de tels désagréments en gérant efficacement les données que vous partagez au sein de ces réseaux sociaux et, bien entendu, en respectant les règles éthiques. Les bonnes pratiques préconisent la gestion de la confidentialité des informations. La première chose à faire est de définir l’espace de confidentialité dans lequel vous souhaitez échanger avec les autres membres et de vous poser les bonnes questions avant de partager des informations qui peuvent toucher plusieurs personnes. Il faut aussi être responsables de que ce nous publions et faire preuve de jugement relative- ment aux informations provenant du lieu de travail, même quand il n’y a aucune mauvaise intention. Posons-nous la question suivante : Le sujet soulève plus de questions que de réponses, mais qu’en pensent les principaux intéressés? Et vous, que recommanderiez-vous? Monica Ouellet Conseillère en gestion de l'information et contrôle de la qualité des données LE RÔLE DE LA CONSEILLÈRE EN GESTION DE L’INFORMATION ET AU CONTRÔLE DE LA QUALITÉ DES DONNÉES LE RÔLE DE LA GESTION DE L’INFORMATION A BEAUCOUP ÉVOLUÉ AU COURS DE LA DERNIÈRE DÉCENNIE. LA DIVERSITÉ DES SECTEURS DE L’INFORMATION FAIT EN SORTE QU’IL Y A FORCÉMENT UNE VOLONTÉ DANS LES ORGANISATIONS DE SE DOTER DE MOYENS POUR ASSURER LE SUIVI DE GESTION ET D’Y INCLURE LA NOTION DE LA QUALITÉ ET DE LA SÉCURITÉ DES INFORMATIONS. Le rôle de la gestion de l’information a beaucoup évolué au cours de la dernière décennie. La diversité des secteurs de l’information fait en sorte qu’il y a forcément une volonté dans les organisations de se doter de moyens pour assurer le suivi de gestion et d’y inclure la notion de la qualité et de la sécurité des informations. Nous profitons du thème de la semaine de la confidentialité et de la sécurité de l’information pour présenter les rôles et responsabilités de la nouvelle conseillère en gestion de l’information. Membre de l’équipe des ressources informationnelles de la Direction des ressources financières et informationnelles, la conseillère soutient les équipes de toutes les directions qui génèrent tout type d’information tant pour les ententes de gestion que les statistiques opérationnelles. Le besoin grandissant pour ce type de poste en matière de gestion de l’information au sein des organisations du réseau s’explique par la nécessité de mesurer les besoins et les services offerts à la population. L’évolution des différents systèmes d’information clinico-administratifs permet l’extraction de multiples informations pour faciliter la prise de décisions cliniques et administratives. La gestion de l’information est un outil important pour l’organisation et pour les partenaires du réseau de la santé. Plusieurs applications cliniques et administratives ont été développées au cours des dernières années et bien souvent indépendamment les unes des autres, sans intégration ni communication entre elles. La conseillère en gestion de l’information contribue à assurer la qualité, l’intégrité et la cohérence des données, par son rôle de vigie sur le pilotage des systèmes cliniques et clinico-administratifs pour tous les systèmes d’information au sein du CSSS. Elle participe activement à l’introduction d’une démarche rigoureuse pour soutenir la prise de décision dans un mode de reddition de comptes. Elle travaille en étroite collaboration avec tous les secteurs de l’établissement afin de soutenir les besoins d’informations et d’améliorer les processus de collecte de données, en respectant les cadres normatifs et règlementaires selon des échéanciers précis. Elle assure la coordination en matière de fiabilité et de validité de l’information fournie par les différents systèmes. Elle effectue aussi le suivi de gestion du tableau de bord qui permet de suivre l’évolution des indicateurs les plus pertinents et les plus critiques. Afin de garantir l’utilisation optimale du tableau de bord, celui-ci doit être diffusé à l’ensemble du CSSS et faire intervenir tous les acteurs visés par les données. De plus, la conseillère doit cerner, documenter et signaler les vulnérabilités et les risques particuliers et proposer des mesures correctives, si nécessaire, tout en garantissant la sécurité et l’intégrité des données. C’était une présentation sommaire du rôle de la conseillère en gestion de l’information. Comme indiqué, il s’agit d’une ressource qui prendra part au développement du CSSS afin d’améliorer tous les éléments de la qualité de l’information sous toutes ses formes. Michelle Harvey Directrice des ressources financières et informationnelles 3 APPRENDRECONTRIBUERVIVRE DIX BONNES PRATIQUES DE SENSIBILISATION À LA SÉCURITÉ LE PRÉSENT ARTICLE ABORDE CERTAINS POINTS ESSENTIELS DE LA SENSIBILISATION AUX TECHNOLOGIES DE L’INFORMATION. LE MEILLEUR MOYEN DE GARANTIR CETTE SÉCURITÉ EST DE SENSIBILISER LES PERSONNES VISÉES AUX RISQUES ET AUX OUTILS DE PROTECTION EXISTANTS. LES EMPLOYÉS REPRÉSENTENT LE FACTEUR « HUMAIN » QUI EST UNE VARIABLE NON NÉGLIGEABLE. DÈS LORS, LE COMPORTEMENT DEVIENT UN ÉLÉMENT INCONTOURNABLE DES SYSTÈMES DE SÉCURITÉ. Le CSSS de Dorval-Lachine-LaSalle résume les dix bonnes pratiques de sécurité de l’information. Ces bonnes pratiques constituent un outil très efficace pour sensibiliser les employés aux risques qui pèsent sur la sécurité de l’information et leur rappeler les règles d’or à respecter dans ce domaine. À cette fin, l’organisation déploie des efforts pour orienter les employés vers une meilleure approche de la sécurité de l’information afin d’obtenir une plus grande implication de chacun en faveur de la sécurité de l’information. 1 - UTILISATION D’UN MOT DE PASSE SÛR Votre mot de passe est l’équivalent sur Internet de la serrure et de la clé de votre maison. Les mots de passe constituent l’un des principaux moyens de défense; acquérir de bons réflexes dans ce domaine vous aidera à mieux protéger vos informations personnelles sensibles et vos données d’identification. Ce qu’il faut retenir : modifier votre mot de passe régulièrement, tenir votre mot de passe secret et utiliser des mots de passe différents. Plus votre mot de passe contient de caractères différents, plus il est difficile à deviner. N’utilisez pas d’informations personnelles telles que votre nom, celui de vos enfants, leur date d’anniversaire, etc. que quelqu’un pourrait connaître ou obtenir facilement, et essayez d’éviter les noms communs : certains pirates utilisent des programmes qui testent chaque mot du dictionnaire. Utilisez un mot de passe sûr pour protéger vos données : il doit comporter au moins huit caractères et associer des lettres (majuscules et minuscules), des chiffres et des symboles. 2 - PROTÉGEZ VOTRE ORDINATEUR Verrouillez votre ordinateur fixe lorsque vous quittez votre bureau pour assister à une réunion, faire une pause et/ou aller dîner. N’autorisez pas d’autres personnes à connecter leur clé USB à votre ordinateur, surtout s’il s’agit d’une clé personnelle non sécurisée. Ne connectez pas votre ordinateur portable personnel au réseau de votre organisation, car il peut être infecté par un virus ou atteint par un programme malveillant. 3 - UTILISEZ LA MESSAGERIE ÉLECTRONIQUE ET INTERNET AVEC PRÉCAUTION Ne cliquez pas sur les liens hypertextes contenus dans les courriels suspects. Envoyez des documents PDF pour éviter qu’ils soient facilement modifiés. Naviguez sur Internet avec précaution. Ne communiquez pas d’information sur votre organisation et vos fonctions sur les réseaux sociaux. Évitez de contribuer à des blogues sur lesquels votre avis et vos opinions pourraient être considérés comme reflétant ceux de votre organisation. N’oubliez pas que lorsque vous naviguez sur Internet depuis votre poste de travail, celui-ci peut être identifié par l’hôte. 4 4 - CLÉS USB Utilisez une clé USB cryptée. Contrôlez votre clé USB après avoir copié des fichiers à partir d’un ordinateur non sécurisé ou non autorisé, pour détecter toute transmission de virus. 5 - MANIPULEZ LES INFORMATIONS AVEC PRÉCAUTION Protégez tout contenu sensible avec un mot de passe afin que personne ne puisse le modifier ou l’effacer. N’oubliez pas de récupérer vos impressions dans le tiroir de sortie de l’imprimante. Détruisez toujours les documents qui contiennent des informations sensibles. 6 - USAGERS ET VISITEURS Accompagnez les usagers et visiteurs dans vos locaux professionnels à tout moment. Il n’est pas prudent de les laisser circuler librement. 7 - SIGNALEZ TOUTE PERTE ET/OU DÉTÉRIORATION DE VOS APPAREILS PORTABLES D’ENTREPRISE ET TOUT INCIDENT Signalez au service informatique de votre organisation tout appareil portable professionnel trouvé. Signalez toute activité suspecte sur votre poste de travail. 8 - PROTÉGEZ LES INFORMATIONS EN DEHORS DE VOTRE ENTREPRISE N’oubliez pas qu’une personne peut entendre votre conversation. Ne portez pas les informations confidentielles de votre organisation sur la place publique. Lorsque vous voyagez ou lorsque vous travaillez à distance, méfiez-vous des personnes indiscrètes (qui suivent vos conversations par-dessus votre épaule). 9 - RESPECTEZ LA POLITIQUE ET LES PROCÉDURES DE SÉCURITÉ DE VOTRE ÉTABLISSEMENT Respectez la politique de sécurité de l’information. (http://dll.intranet.mtl.rtss.qc.ca/fileadmin/ Dorval/Politiques_et_procedures/Nouvelle_ numerotation_politiques/POL_0129_Politique_ securite_de_linformation_CSSSDLL.pdf) Veillez à conserver la confidentialité, l’intégrité et la disponibilité des données. Signalez tout manquement aux règles de sécurité. 10 - DONNEZ VOTRE AVIS POUR AMÉLIORER LES SOLUTIONS ET LA POLITIQUE DE SÉCURITÉ EN VIGUEUR Donnez votre avis pour améliorer les solutions et la politique de sécurité en vigueur. Posez des questions ou faites des suggestions visant à améliorer les solutions et les mesures de sécurité. Le CSSS DLL s’engage donc à guider davantage les employés vers une culture de sécurité de l’information, afin d’améliorer la sensibilisation de chacun à la sécurité de l’information. En gardant à l’esprit ces bonnes pratiques en matière de sécurité de l’information, les employés seront plus attentifs aux risques, ce qui leur permettra de reconnaître les menaces de sécurité informatique les plus courantes et d’y répondre de manière adéquate. Le service informatique Référence Adapté de l’article Les dix bonnes pratiques de l’ENISA en matière de sensibilisation à la sécurité, juillet 2009, http://www.enisa.europa.eu/act/ar/deliverables/2008/ secure-usb-flash-drives-fr APPRENDRECONTRIBUERVIVRE LA CONFIDENTIALITÉ VUE PAR LA DIRECTION DES SERVICES PROFESSIONNELS LES NOUVELLES TECHNOLOGIES S’INSTALLANT RAPIDEMENT DANS LA MAJORITÉ DES ÉTABLISSEMENTS DE SANTÉ DE NOTRE RÉSEAU, NOUS SOMMES CONVAINCUS QU’À L’INTÉRIEUR DE CES MÊMES ÉTABLISSEMENTS, DES MÉCANISMES DE SÉCURITÉ EFFICACES POUR ASSURER LA PROTECTION DE L’INFORMATION SONT GRADUELLEMENT MIS EN PLACE. AUSSI, MON INTERVENTION PORTERA PLUTÔT SUR LES DÉFIS QUE PRÉSENTE L’ÉCHANGE D’INFORMATION AU SEIN DE L’ORGANISATION DU CSSS. Les préoccupations du CSSS de Dorval-LachineLaSalle sont de plusieurs ordres. Tout d’abord, nous devons considérer les aspects juridiques, la protection des renseignements personnels et le consentement de l’usager, sans pour autant négliger les besoins des intervenants pour assurer les soins requis. En tant que directrice des services professionnels, comment concilier tous ces grands enjeux avec les besoins de partage de l’information clinique afin de collaborer à la dispensation de soins de qualité dans un réseau de soins intégrés tout en assurant la confidentialité de ces mêmes informations? Depuis longtemps déjà, la LSSSS ainsi que la Loi sur l'accès à l’information ont maintenu le principe de confidentialité du dossier d’un usager. Nous savons que le partage d’informations entre divers professionnels d'un même établissement qui collaborent entre eux dans la prestation des soins ne constitue pas une violation de la confidentialité, dans la mesure où ces informations sont pertinentes à l’exercice de leurs fonctions. Pour ce qui est du professionnel de la santé, il faut lui assurer le meilleur accès possible aux informations pour soigner le plus efficacement possible l’usager qui nécessite des soins de santé. Quant à l'usager, nous devons lui assurer que le sommaire de ses informations de santé est disponible aux intervenants visés. Toutes les préoccupations administratives comme les statistiques et l'information aux tiers payeurs sont considérées afin de respecter la vie privée de l’usager. Le consentement de l’usager occupe une place prépondérante dans notre réflexion. Comment réussir à intégrer et à gérer le consentement de l’usager sans pour autant alourdir et ralentir la dispensation des services? Nous devons définir les différents consentements : aux soins ou à l’accès à son dossier? Actuellement, lorsque l’usager consulte les services du réseau de la santé, il signe un formulaire de consentement aux soins, et le consentement d’accès à son dossier par l'établissement où il est soigné est implicite, car le dossier de l’usager est l’outil de travail du professionnel soignant. Comment assurer un continuum de soins dans l’organisation des missions du CSSS? Comment l’accès à l’information est-il mis en place pour accélérer la dispensation des soins et en augmenter la qualité? Il va sans dire que la mise en place des CSSS et de mécanismes d’accès à l’information soulève beaucoup de questions parmi les archivistes médicales sur le plan de la protection des renseignements personnels. Nous sommes à la fois sensibilisées à l’importance de protéger la vie privée des usagers et conscientes du fait que les technologies de l’information permettent un partage d’informations plus rapide pour assurer une meilleure qualité de soins. N’oublions surtout pas que la confiance des usagers et des professionnels dans le réseau se mesurera en fonction de l'efficacité des moyens pris pour assurer la protection des renseignements personnels. Tous les intervenants du réseau de la santé, du MSSS jusqu'à chaque établissement, doivent donc s’engager à instaurer des mécanismes garantissant à l’usager la protection des informations de son dossier tout en permettant aux professionnels visés d’accéder à ces informations dans le cadre de leurs fonctions. Bref, des mécanismes pouvant concilier la sécurité et la fluidité sont nécessaires à la réussite de tous les projets de partage d’information clinique. Le service des archives médicales de chaque établissement a le mandat d’assumer cette gestion avec la collaboration des ressources informationnelles. Les privilèges d’accès devront être définis par une équipe de professionnels de l’établissement selon les assignations de chaque catégorie de professionnels. Nous devons limiter l’accès aux personnes autorisées selon des critères préalablement définis et prévoir des possibilités de modification des privilèges en fonction des assignations. Dans un contexte de partage de l'information dans son sens le plus large, une gestion très serrée des accès s’impose pour assurer la protection des renseignements personnels. Enfin, il sera important qu’une surveillance régulière de la gestion des accès soit exercée afin d’effectuer des audits de contrôle. Actuellement, en cas d’enquête, nous pouvons nous servir du processus de journalisation pour vérifier qui a accédé aux informations sur un usager. Cette fonction nous permet de vérifier qui a accédé à une base de données et si cela concorde avec les besoins de la fonction de cette personne. La majorité des systèmes d’information permettent la journalisation, que nous considérons d’ailleurs comme une exigence minimale de sécurité. Il serait opportun de faire des audits nous permettant de vérifier la concordance des accès par rapport aux besoins cliniques, afin d’assurer la sécurité de l’information des usagers. Si vous étiez un usager utilisant les services du CSSS, n’aimeriez-vous pas que vos renseignements personnels soient gardés de façon confidentielle et sécuritaire, mais accessibles rapidement aux intervenants qui vous donnent des soins? Voici mes réflexions en cette semaine de sensibilisation à la confidentialité et la sécurité. En conclusion, des changements majeurs s’annoncent dans l’accès à l'information du réseau de la santé et des services sociaux et tout au long de cette évolution technologique, nous devons garder à l’esprit que l’usager doit en être le premier bénéficiaire; la fin doit justifier les moyens. La première préoccupation de tous les professionnels du réseau devrait être la SANTÉ DE L’USAGER et le RESPECT DE SA PERSONNE. Bonne semaine de la confidentialité. Dre Hélène Daniel Directrice des services professionnels 5 APPRENDRECONTRIBUERVIVRE LA SÉCURITÉ DES ACTIFS INFORMATIONNELS Actif informationnel : banque d’information électronique, système d’information, réseau de télécommunications, technologie de l’information, installation ou ensemble de ces éléments; un équipement médical spécialisé ou ultraspécialisé peut comporter des composantes qui font partie des actifs informationnels, notamment lorsqu’il est relié de façon électronique à des actifs informationnels. (Réf. : Loi sur les services de santé et les services sociaux, art. 520.1). S’ajoutent, dans le présent cadre de gestion, les documents imprimés générés par les technologies de l’information. Confidentialité : propriété que possède une donnée ou une information dont l’accès et l’utilisation sont réservés à des personnes ou à des entités désignées et autorisées. Disponibilité : propriété qu’ont les données, l’information et les systèmes d’information et de communication d’être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée. Donnée confidentielle : donnée qui ne peut être communiquée ou rendue accessible qu’aux personnes ou à d’autres entités autorisées. Donnée nominative : information relative à une personne physique identifiée ou identifiable. Donnée sensible : donnée dont la divulgation, l’altération, la perte ou la destruction risquent de paralyser ou de mettre en péril soit un service, soit l’organisation elle-même qui, de ce fait, devient vulnérable. Mot de passe : authentifiant prenant la forme d’un code alphanumérique attribué à un utilisateur, permettant à ce dernier d’obtenir l’accès à un ordinateur en ligne et d’y effectuer l’opération désirée. Cet authentifiant représente une liste secrète de caractère qui, combinée à un code d’utilisateur public, forme un identificateur unique désignant un utilisateur particulier. Renseignement confidentiel : tout renseignement qui ne peut être communiqué ou rendu accessible qu’aux personnes ou à d’autres entités autorisées. RTSS : réseau privé de télécommunications sociosanitaire. Système d’information : ensemble de moyens mis en place pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information en vue de répondre à un besoin déterminé, incluant notamment les technologies de l’information et les procédés utilisés pour accomplir ces fonctions. Technologie de l’information : tout logiciel ou matériel électronique et toute combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou éliminer l’information sous toute forme (textuelle, symbolique, sonore ou visuelle). Souce: cadre global de gestion des actifs informationnelles appartenant au RSSS-volet sur la sécurité Intégrité : propriété d’une information ou d’une technologie de l’information qui ne peut être ni modifiée, ni altérée, ni détruite sans autorisation. Irrévocabilité : propriété d’un acte d’être définitif et clairement attribué à la personne qui l’a accompli ou au dispositif avec lequel il a été accompli. UNE SITUATION SANS MAUVAISE INTENTION… Alain est absent du travail depuis un certain temps. Jacques, un collègue de travail, s’inquiète de son absence. Il décide d’accéder à son dossier électronique pour savoir s’il a passé des tests à l’hôpital, car il a eu vent qu’Alain était probablement en arrêt de travail pour cause de maladie. Ce dernier a effectivement passé des tests qui révèlent une maladie chronique. Jacques en discute avec une autre collègue de travail, Hélène, qui connaît bien Alain. Elle est troublée par cette annonce. Hélène communique alors avec Alain pour prendre de ses nouvelles. Elle mentionne à Alain connaître la raison de son absence. Malheureusement, Alain voulait que le diagnostic de sa maladie demeure confidentiel. Jacques a donc transgressé les règles de la confidentialité et les lois qui la régissent. Il est passible de mesures disciplinaires qui pourraient aller jusqu’au congédiement, s’il avait eu de mauvaises intentions, ce qui n’est pas le cas. Des situations comme celle-ci se produisent de plus en plus. En effet, depuis l’informatisation du dossier des usagers, les employés du secteur de la santé et des services sociaux, selon leur champ de pratique, ont accès plus facilement à différentes données du dossier des usagers, que ce soit des 6 collègues de travail, des parents ou des amis. Il est donc facile d’obtenir des renseignements confidentiels sur l’état de santé d’une personne et de les transmettre à un tiers. En fait, toute personne a droit au respect de sa vie privée, à moins qu’elle consente à la divulgation de renseignements. En bref, comme salariés, membres du réseau de la santé et des services sociaux, vous devez faire preuve de discernement afin de respecter la vie privée des usagers, de vos collègues de travail, de vos amis et de vos parents. Yves Morency Chef du service des relations avec le personnel Direction des ressources humaines APPRENDRECONTRIBUERVIVRE À LA DÉCOUVERTE DE NOS PROFESSIONS L’ARCHIVISTE MÉDICALE EN QUOI CONSISTE LA PROFESSION D’ARCHIVISTE MÉDICAL ET QUELLES SONT SES FONCTIONS AU SEIN DE NOTRE CSSS? VOILÀ CE QUE NOUS EXPLORERONS ENSEMBLE DANS L’ARTICLE QUI SUIT. Le profil de l’archiviste médical recoupe toutes les dimensions de l’offre de service des CSSS. Il est le gestionnaire de l’information sur la santé et maîtrise une combinaison de connaissances touchant les aspects cliniques, technologiques et juridiques. La profession d’archiviste médical a beaucoup évoluée au cours de la dernière décennie. L’avancement technologique est en grande partie responsable de l’étendue des champs d’activité associés à un choix de carrière en constante évolution. En effet, l’archiviste médical est appelé à maîtriser des systèmes d’information afin d’exploiter les données en lien avec l’efficience et la performance du réseau. La collecte, l’analyse et l’interprétation des données statistiques l’amènent à jouer un rôle prépondérant dans l’élaboration d’outils de recherche et de gestion de l’information. La validation et la formation des intervenants, principalement avec la mission CLSC, sont des activités importantes pour la reddition de comptes et le suivi des ententes de gestion. Dans ses fonctions, ce professionnel de la santé est chargé de la gestion de plusieurs aspects du dossier clinique. En raison de son expertise en matière de confidentialité et de protection des renseignements personnels, l’archiviste médical est le principal gardien de l’information en conformité avec les lois, règlements et politiques en vigueur. La codification des éléments du dossier de l’usager fait également partie des fonctions assurées par l’archiviste médical. Sa formation en codification des maladies et des interventions permet de contribuer à fournir des données cliniques de qualité tout en assurant la validité des bases de données cliniques et clinico-administratives. L’archiviste médical travaille aussi à l’analyse qualitative et quantitative du dossier et applique les cadres normatifs en vigueur, tels Med-Echo et I-CLSC, en vue d’exploiter les données statistiques sous toutes leurs formes. D’autres cadres normatifs, tel SICHELD, seront utilisés prochainement. Grâce à sa connaissance du contenu du dossier de santé, l’archiviste participe activement aux études et aux différents projets de recherche. Il siège à des comités consultatifs et cliniques tels que l’évaluation de l’acte médical et le conseil multidisciplinaire. De plus, il collabore à l’évaluation par critères explicites avec l’équipe médicale. L’archiviste évolue principalement dans les établissements de santé, mais il est également présent dans d’autres secteurs, notamment les suivants : • Organismes gouvernementaux : MSSS, RAMQ, CSST, SAAQ • Agences de la santé et des services sociaux • Compagnies d’assurances • Fournisseurs d’applications informatiques • Laboratoires pharmaceutiques • Instituts de recherche • Collèges d’enseignement L’obtention du diplôme de fin d’études collégiales en techniques d’archives médicales ouvre les portes à une carrière aux innombrables possibilités et aux perspectives d’emploi des plus stimulantes! Les archivistes médicales du CSSS DLL Remerciements aux membres du comité qui ont permis de mettre sur pied la Semaine de la confidentialité Groupe de travail Monica Ouellet, responsable Lynne Desmarais, Lyne Champoux, Mélanie Dubé, Yves Morency, Nathalie Ouellet, Madaleine Rheault Équipe des archivistes médicales Sofia Doto (CLSC Lachine) Salmah Hosany (CLSC La Salle) Chantal Le Corre, (Hôpital) Chantal Lussier, (Hôpital) Chantal Pelletier, (Hôpital) Chantal Pronovost, (Hôpital) Madeleine Rheault, (Hôpital) Sheba Salomon, (Hôpital) Isabelle Turcotte, (Hôpital) • Etc. 7 APPRENDRECONTRIBUERVIVRE CONFIDENTIALITÉ ET SÉCURITÉ VONT DE PAIR 8 4