Technologie pour les informations de santé
Transcription
Technologie pour les informations de santé
Technologie pour les informations de santé : la nécessité d’une gestion du risque et de la conformité performante à l’heure de la loi HITECH Un livre blanc de Frost & Sullivan TABLE DES MATIÈRES PROMOUVOIR L’ADOPTION DES TECHNOLOGIES POUR LES INFORMATIONS DE SANTÉ ET PROTÉGER LES DONNÉES PERSONNELLES : LA LOI HITECH ET SON UTILISATION EFFECTIVE ··················································· 3 ÉCHANGES D’INFORMATIONS DE SANTÉ··································································· 7 PROMOUVOIR DES MODÈLES DE SOINS COLLABORATIFS ···································· 7 RISQUES ASSOCIÉS À LA FLUIDITÉ DES INFORMATIONS ······································ 7 DES ORGANISATIONS NUMÉRISÉES QUI EXIGENT UN ACCÈS CONTINU ········ 9 AVANTAGES D’UNE STRATÉGIE DE GESTION DU RISQUE ET DE LA CONFORMITÉ ············································································· 9 ÉTAPES VERS UNE GESTION RÉUSSIE DU RISQUE ET DE LA CONFORMITÉ ····· 10 EXEMPLES DE STRATÉGIES DE GESTION DU RISQUE ET DE LA CONFORMITÉ ······················································································································ 13 CONCLUSION ······················································································································ 13 ACRONYMES ET DÉFINITIONS ······················································································· 14 Frost & Sullivan La majorité des responsables politiques, des professionnels de santé et autres parties prenantes sont d’avis que les technologies pour les informations de santé (HIT) représentent la meilleure solution pour améliorer la sécurité et la santé des patients, accroître l’efficacité des services de santé, diminuer les coûts associés et améliorer l’utilisation des ressources. Or les technologies pour les informations de santé soulèvent également certaines questions en matière de vie privée et de sécurité des données personnelles sur la santé. Alors que les États-Unis et certains autres pays préconisent le recours aux technologies de l’information, aux échanges d’informations médicales et aux modèles de soins collaboratifs dans leur combat pour la qualité des soins et contre des coûts croissants, les informations sensibles sur la santé deviennent de plus en plus vulnérables. Ces données étaient auparavant conservées au format papier et seuls le professionnel de santé et les employés qui les créaient pouvaient y accéder. Grâce au format électronique de plus en plus courant, elles pourront désormais circuler entre les différents professionnels, à l’intérieur ou à l’extérieur de l’hôpital, et entre les professionnels et les autres parties prenantes, comme les organismes de remboursement. Les technologies pour les informations de santé permettent de fluidifier les transferts d’information, élargissent l’accès aux données et facilitent la modification des données personnelles sur la santé. En ce sens, ellles soulèvent davantage de problèmes pour les professionnels et les organismes de remboursement en matière de gestion du risque et de la conformité. Dans ce livre blanc, nous examinerons : • • • • • • • les initiatives qui encouragent l’adoption des technologies pour les informations de santé ; les échanges d’informations médicales (HIE) et les modèles collaboratifs de soins ; les problèmes de risques et de conformité associés aux technologies pour les informations de santé, aux échanges d’informations médicales et aux modèles collaboratifs de soins ; la nécessité d’une continuité des données dans un monde ou les informations de santé sont numérisées ; la nécessité de mettre en oeuvre une stratégie de gestion du risque et de la conformité ; les étapes essentielles de la conception d’une telle stratégie ; des exemples de stratégies et de technologies permettant de gérer les risques et la conformité. Les dirigeants et professionnels du secteur de la santé, les organismes de remboursement et leurs partenaires commerciaux doivent se pencher sur la gestion du risque et de la conformité au tout début du développement des technologies pour les informations de santé. Dans le cas contraire, ils risquent de faire face à des conséquences potentiellement graves : détérioration de leurs prestations de santé, réputation dégradées et pertes financières à la suite de violations de sécurité, de données perdues ou d'une non-conformité. PROMOUVOIR L’ADOPTION DES TECHNOLOGIES POUR LES INFORMATIONS DE SANTÉ ET PROTÉGER LES DONNÉES PERSONNELLES : LA LOI HITECH ET SON UTILISATION EFFECTIVE Un grand nombre de gouvernements ont adopté des initiatives proactives afin d’encourager l’adoption des technologies pour les informations de santé. L’Union européenne a récemment pris conscience des avantages associés à l’adoption des technologies pour les informations de santé et 1 lancé plusieurs programmes, comme le Ten4Health dans l’UE et le Plan2 Hôpital 2012 en France. En janvier 2009, la Chine a annoncé un programme de relance de 124 milliards de dollars sur les trois prochaines années. Ce programme vise à redéfinir le système national de soins, notamment à moderniser les services grâce à l’hospitalisation numérique, aux dossiers médicaux électroniques (EMR) et à des réseaux d’information de nouvelle génération. Dans le budget 2009 du Canada, 500 millions de dollars canadiens ont été consacrés à la création d’Inforoute Santé du Canada (société à but non lucratif) afin de développer et mettre en oeuvre des technologies de télésanté dans l’ensemble du pays. Frost & Sullivan 3 Le gouvernement américain encourage fortement l’adoption des technologies pour les informations de santé au travers de mesures d’incitation et de dissuasion. La loi HITECH (Health Information Technology for Economic and Clinical Health), incluse dans l’American Recovery and Reinvestment Act (ARRA) de 2009, alloue des milliards de dollars aux prestataires et les incite à adopter et à utiliser, de manière effective, les dossiers médicaux personnels (DMP). Par ailleurs, elle améliore les mesures sur les données personnelles et la sécurité instaurées par le Health Insurance Portability and Accountability Act (HIPAA) de 1996. Quelles sont les implications de la loi HITECH pour les prestataires et leurs partenaires commerciaux, les patients et les organismes de remboursement ? Premièrement, elle instaure des mesures d’incitation nécessaires pour convaincre les prestataires d’adopter et d’utiliser les dossiers médicaux personnels. S’il existe des preuves irréfutables démontrant que des technologies pour les informations de santé, telles que les dossiers médicaux personnels, permettent de réaliser des économies, le coût initial de mise en place d’une telle infrastructure reste élevé3. En 2005, Rand Corporation a souligné que souvent, les organisations qui doivent supporter les coûts des technologies pour les informations de santé (les prestataires) ne sont pas celles qui bénéficient des économies qui en résultent, et a recommandé au gouvernement de créer des mesures d’incitation4. Les mesures d’incitation de la loi HITECH en sont un exemple. Les prestataires qui adoptent les technologies pour les informations de santé et démontrent qu’ils les utilisent de manière effective (« Meaningful Use », MU) dans le cadre de leurs pratiques médicales pourront recevoir des aides financières. Les critères correspondant à une utilisation effective n’ont pas encore été définis ; par conséquent, les prestataires doivent démontrer que « leur utilisation d'une technologie agréée de dossiers médicaux personnels peut être mesurée de façon significative en termes de qualité et de quantité »5. Pour répondre aux critères MU et recevoir une aide financière en vertu de la loi HITECH, les professionnels de santé doivent d’abord être en mesure d’échanger des informations significatives avec leurs pairs. Cela signifie qu'il doit être possible de transférer les données des patients hors du réseau protégé du prestataire. Deuxièmement, la loi HITECH donne plus de responsabilités aux prestataires et à leurs partenaires commerciaux, leur demandant de garantir que les données de santé confidentielles (PHI) sont sécurisées et demeurent confidentielles. Les données de santé confidentielles sont des données individuellement identifiables sous quelque forme que ce soit (numérique, papier ou verbale) et stockées ou transmises par un prestataire ou ses partenaires commerciaux. Les données individuellement identifiables comprennent des informations sur la santé physique ou mentale des patients, sur la délivrance de soins ou sur le paiement des soins. Le tableau 1 compare les modifications importantes de la règlementation HIPAA avant et après la loi HITECH. 1 2 3 4 5 4 Le projet Ten4Health instaure un service Internet sécurisé qui intègre des réseaux d’infrastructure de technologies pour les informations de santé dans les pays membres de l’UE. Le service s’est avéré essentiel pour permettre aux citoyens de l’Union européenne de recevoir des soins médicaux lors de séjours dans d’autres pays de l’UE, grâce à une carte européenne d’assurance maladie. Il s’agit également d’une première étape avant l’utilisation d’une future version électronique. Le Plan Hôpital 2012 consacre 1,5 milliard d’euros aux investissements en technologies pour les informations de santé en France. En 2005, dans un rapport de synthèse sur la recherche en matière de technologies pour les informations de santé, Rand Corporation a indiqué que les économies réalisées uniquement grâce à l’efficacité pouvaient dépasser les 77 milliards de dollars et que les bénéfices en termes de santé et de sécurité pouvaient permettre de doubler ces économies tout en réduisant la morbidité et la mortalité. Source : Rand Corporation, 2005, « Health Information Technology: Can HIT Lower Costs and Improve Quality? » RAND Health: Research Highlights. Santa Monica, CA: Rand Corporation Ibidem CMS, 2010, « Meaningful Use ». http://www.cms.gov/EHRIncentivePrograms/30_Meaningful_Use.asp#TopOfPage (6 avril 2011) Frost & Sullivan Tableau 1 : Règles de conformité HIPAA et sanctions en cas de non-conformité Avant et après la loi HITECH Définition des partenaires commerciaux (BA) Les partenaires commerciaux doivent-ils se conformer au HIPAA ? Avis de violation de données Violation des données Application Sanctions civiles en cas de violation des données Sanctions pénales en cas de violation des données HIPAA avant la loi HITECH HIPAA après la loi HITECH Couverture santé, organisme de compensation ou prestataire impliqué dans la divulgation des données de santé confidentielles. Définition élargie afin d’inclure les échanges d’informations sur la santé, les organismes de soins collaboratifs, les entreprises et sous-traitants ayant accès aux données de santé confidentielles. Non, sauf stipulation contractuelle contraire avec les entités en question. Oui. Des dispositions de sécurité et des sanctions sont désormais applicables. Désormais directement tenus pour responsables en cas de violation. Notification facultative des patients en cas de violation, sauf requête de l’État. Résolution collaborative de toute non-conformité ; applicable aux entités concernées, non applicable aux particuliers. 100 $ par incident ; 25 000 $ maximum par année civile Doit notifier les services sanitaires et sociaux (HHS) de toute violation, notifier par écrit les personnes affectées au plus tard dans les 60 jours suivants la découverte de la violation, aviser les médias des violations si celles-ci concernent plus de 500 personnes dans un seul État ou sur un seul territoire. Le bureau des droits civiques des services sanitaires et sociaux enquête sur les plaintes et réalise des revues de conformité ; également applicable aux particuliers, aux employés, aux partenaires commerciaux. Les services sanitaires et sociaux doivent rendre compte au Congrès des plaintes et des résolutions. 100 $ à 50 000 $ ou plus par violation ; 1 500 000 $ maximum par année civile 50 000 $ maximum et 1 an de prison en cas de divulgation volontaire de données de santé confidentielles ; 100 000 $ et 5 ans de prison en cas de divulgation volontaire sous de faux prétextes ; 250 000 $ et 10 ans de prison en cas de divulgation volontaire en vue d’obtenir un avantage concurrentiel, un gain personnel ou à des fins malveillantes. Source : Frost & Sullivan Depuis l’adoption de la loi HITECH, le bureau des droits civiques des services sanitaires et sociaux et le Ministère de la justice (entités responsables des poursuites civiles et pénales) ont clairement montré leur intention d’appliquer ces nouvelles règles de conformité. En janvier 2010, un ancien chercheur de l’école de médecine David Geffen d’UCLA a été le premier membre du corps médical condamné à une peine de prison pour avoir violé les dispositions sur les données personnelles de la loi HIPAA. Ce chirurgien cardiothoracique a écopé de quatre mois d’incarcération dans une prison fédérale et d’une amende de 2 000 $. Après avoir été avisé de son licenciement par l’UCLA, le chirurgien a accédé aux dossiers médicaux de son responsable direct, d’autres employés et de personnes célèbres, et ce 323 fois sur une période de trois semaines. George Cadona, alors procureur général des États-Unis, a déclaré : Frost & Sullivan 5 L’accès inapproprié et illégal aux dossiers médicaux par des personnes qui abusent des droits d’accès dont ils bénéficient dans le cadre de leur emploi est un problème récurrent. Les dispositions pénales sur les données personnelles de la loi HIPAA ne protègent pas seulement les personnes célèbres ; elles nous protègent également tous de voisins curieux, de collègues mécontents et autres fouineurs6. L’avocat chargé de la défense du chirurgien a déclaré que son client, de nationalité chinoise, ne savait pas qu’il enfreignait la loi et a souligné l’importance de la formation du personnel. D’autres secteurs et organismes strictement réglementés se sont adaptés aux technologies de l’information et à la nécessité de former chaque année leur personnel afin de garantir le respect des règlementations. Il est grand temps que le secteur de la santé en fasse autant. Par exemple, l’Internal Revenue Service (administration fiscale des États-Unis) exige une formation annuelle de ses employés sur les données personnelles, la divulgation des déclarations d’impôts et l’accès non autorisé à celles-ci. En février 2011, la société Cignet Health du Maryland a été condamnée à une amende de 4,3 millions de dollars (sanction civile) pour avoir violé les règles sur les données personnelles de la loi HIPAA. Soit 1,3 million de dollars pour avoir omis de communiquer leur dossier médical à 41 patients l’ayant demandé et 3 milliards de dollars pour avoir fait preuve « d’arrogance » en refusant de coopérer avec les enquêteurs. Il s’agit du premier prestataire à avoir été condamné à une amende en vertu d’une violation de ce type. Rebecca Herold, experte en matière de protection de la vie privée, a déclaré : Cette affaire doit également servir de leçon et représenter une solide motivation pour amener toutes les entités et tous les partenaires commerciaux concernés à se conformer aux lois HIPAA et HITECH, et à maintenir leur niveau de conformité. [Les responsables de la sécurité et des données personnelles] doivent présenter cette information à leurs PDG et directeurs financiers afin de démontrer non seulement que des sanctions peuvent s’appliquer mais qu’elles ont déjà été appliquées, assorties de conséquences financières lourdes et douloureuses. Après avoir apparemment fait preuve d’un manque de conformité et d’arrogance lors des échanges avec les enquêteurs de l’OCR (Office for Civil Rights ou Bureau des droits civiques), Cignet a désormais l’honneur de servir d’exemple pour négligence délibérée en vertu des lois HIPAA et HITECH7. Jeff Drummond, avocat de Dallas spécialisé en droit de la santé a par ailleurs déclaré : Depuis un certain temps maintenant, nous sommes nombreux à appliquer la loi HIPAA et à attendre que l’OCR soulève un cas particulièrement flagrant et impose une amende significative, afin de susciter une réaction de la part des professionnels de santé qui prennent la conformité à la loi HIPAA un peu trop à la légère. Ce moment est peut-être enfin arrivé8. 6 7 8 6 FBI, 2010, « Ex-UCLA Healthcare System Employee Pleaded Guilty to Four Counts of Illegally Peeking at Patient Records ». http://losangeles.fbi.gov/dojpressrel/pressrel10/la010810a.htm (6 avril 2011) Nicastro D., 2011, « First civil money penalty for HIPAA Privacy Rule violations ». http://blogs.hcpro.com/hipaa/2011/02/first-civil-money-penalty-for-hipaa-privacy-rule-violations/ (6 avril 2011) Ibidem Frost & Sullivan ÉCHANGES D’INFORMATIONS DE SANTÉ Afin de prendre conscience des avantages associés aux technologies pour les informations de santé, les données sur la santé des patients doivent être partagées entre les patients, les prestataires, les organismes de remboursement et autres utilisateurs autorisés chez le prestataire et à l’extérieur. Plusieurs exemples d’échanges d’informations médicales (HIE) ont émergé depuis les années 90. Les réseaux communautaires d’information sur la santé (CHIN) et les organismes régionaux d’information sur la santé (RHIO) sont des variantes qui ont largement échoué du fait de leur manque d'intérêt pour les participants. Toutefois, la loi HITECH ajoute maintenant de la valeur à ces échanges. Le programme HIE Cooperative Agreement a octroyé un financement à 56 États et territoires, leur permettant de développer rapidement leur capacité en matière d’échanges d’informations médicales sur l’ensemble du système de soins, au sein de chaque État et entre eux. Les financements doivent être utilisés pour accroître la connectivité et faciliter le flux d’informations sur la santé des patients. L’objectif est de développer des échanges régionaux interconnectés qui peuvent éventuellement être à leur tour connectés à l’échelle nationale. Ce type d’échange, nécessaire pour atteindre l’objectif des technologies pour les informations de santé, accroît grandement les risques auxquels sont soumises les données de santé confidentielles. PROMOUVOIR DES MODÈLES DE SOINS COLLABORATIFS la loi HITECH promeut également deux modèles organisationnels pour la délivrance des soins : les maisons médicales centrées sur le patient (PCMH) et les organismes de soins responsables (ACO). Les maisons médicales centrées sur le patient coordonnent les soins pour un patient donné. Le patient et le médecin traitant définissent le plan de soins et les objectifs de résultats en matière de santé. Les organismes de soins responsables sont un réseau de médecins et d’hôpitaux ayant accepté de délivrer tous les soins nécessaires à un minimum de 5 000 patients Medicare. Les deux ne sont pas incompatibles et les organismes de soins responsables peuvent inclure des maisons médicales centrées sur le patient. Ces modèles, s’ils portent leurs fruits, changeront fondamentalement la façon dont les soins sont délivrés aux États-Unis. L’accent sera mis sur des soins préventifs et centrés sur les patients plutôt que sur des soins caractérisés par une rémunération à l’acte. Mais là encore, ce sont les technologies pour les informations de santé qui rendent possible la mise en place des PCMH et ACO. Les soins collaboratifs et coordonnés impliquent l’échange d’informations sur les patients, y compris les données issues d’un suivi à distance, d’un diagnostic par imagerie, des outils de traitement, des multiples spécialistes, des pharmacies, etc. Les établissements de soins médicaux centrés sur le patient et les organismes de soins responsables augmentent la complexité des échanges d’informations médicales, la vulnérabilité des données de santé confidentielles et les risques de nonconformité. En outre, les problèmes de conformité, de fraude, d’abus et d’antitrust sont amplifiés. Une proposition de loi fédérale récemment annoncée sur les organismes de soins responsables permettrait de résoudre certains de ces problèmes. Les patients d’organismes de soins responsables devront exercer leur droit de refus pour empêcher le partage de leurs dossiers Medicare avec les prestataires ACO. Les autorités fédérales cherchent à recueillir des commentaires sur les risques potentiels pour les données de santé confidentielles et sur l’exercice du droit de refus du partage de données. Dans une autre proposition, les autorités fédérales envisagent des dérogations aux règles sur les fraudes et les abus, notamment les lois fédérales anti-corruption et la loi sur l'auto-prescription par les médecins. La Federal Trade Commission et le Ministère de la justice proposent que les organismes de soins responsables fassent partie des zones de sécurité antitrust ou que leur évaluation soit accélérée. RISQUES ASSOCIÉS À LA FLUIDITÉ DES INFORMATIONS Les responsables politiques et les experts des technologies pour les informations de santé sont préoccupés par le fait que les établissements de santé ne traitent pas correctement les problèmes de sécurité lorsqu’ils développent les systèmes d’informations médicales. Les stratégies des technologies pour les informations de santé sont centrées sur l’accès / l’échange d’informations visant à prouver une utilisation effective (MU) en vue d’un financement en vertu de la loi HITECH. Frost & Sullivan 7 Toutefois, il est crucial que les systèmes hospitaliers, les professionnels de santé et les partenaires commerciaux se concentrent sur les risques en matière de sécurité et les problèmes de conformité inhérents à un système qui implique des données de santé confidentielles de plus en plus fluides. Ces problèmes sont accentués par une augmentation des consolidations d’hôpitaux et l’incitation au développement de modèles de soin collaboratifs. Lorsque les systèmes hospitaliers acquièrent de nouveaux sites ou que les échanges de données de santé se développent, ces organismes précédemment disparates doivent intégrer des infrastructures de technologies pour les informations de santé, des systèmes de dossiers médicaux personnels et des fonctions de sécurité et de sauvegarde. Pourtant, les fonds alloués aux technologies pour les informations de santé sont généralement destinés d’abord à la communication des systèmes entre eux et en dernier lieu au développement de mesures sur les risques et la sécurité. En effet, l’accent est avant tout mis sur la valeur clinique et administrative / financière des technologies pour les informations de santé. Comme les systèmes de santé connectés continuent de recevoir des informations jusqu’à la limite de leurs capacités, avec des périphériques de surveillance à distance qui collectent les données des patients et les communiquent au prestataire de soins pour analyse et stockage, la base de données de ce dernier est désormais exposée à des risques potentiels d’accès à distance. Avec un nombre croissant d’applications et de périphériques utilisés et en développement, des capteurs portables, des périphériques qui se connectent via des téléphones mobiles, des applications logicielles résidant sur des smartphones ou accessibles par ceux-ci, et des périphériques autonomes situés à domicile, l’accent doit être mis particulièrement sur la sécurité des logiciels et l’accès à distance. La création d’événements de « refus de service » et de commandes pour extraire des informations des bases de données hospitalières sont deux des nombreux risques que peuvent créer ces périphériques distants. Une défense contre l’accès distant malveillant est nécessaire à tous les niveaux : dans la conception des applications, au niveau du périphérique, du hub, du serveur et du pare-feu9. Puisque bon nombre des entreprises qui développent ces solutions de santé connectées sont de petits établissements innovants, principalement axés sur l’application clinique et les problèmes de connectivité, elles ont accordé moins d’attention à la sécurité jusqu’à aujourd’hui. Les risques de violations des données s’étendent aux entreprises avec lesquelles les hôpitaux et les prestataires concluent des contrats pour assurer des fonctions vitales telles que la transcription médicale et la facturation. Ces partenaires commerciaux sont désormais tenus de respecter les mêmes normes que toutes les entités concernées au sein de l’établissement de santé. Si une entreprise fournissant des services contractuels ou ses sous-traitants a accès à des données de santé confidentielles, elle doit respecter les dispositions législatives et est passible des mêmes sanctions civiles et pénales que les professionnels de santé. Les entités concernées doivent prêter une attention particulière aux relations commerciales avec les entreprises offshore, car les entités basées à l’étranger ne sont pas soumises aux lois des États-Unis. Si une violation de la sécurité se produit à l’étranger, le prestataire basé aux États-Unis est quand même responsable et risque de n’avoir que peu de recours contre le partenaire commercial ayant commis la violation au-delà des mesures spécifiées dans leur accord contractuel. 9 8 Le Health Information Trust Alliance (HITRUST), un groupement consacré à l’établissement et à la promotion des normes de sécurité des technologies pour les informations de santé, réunit actuellement un groupe de travail qui s’emploie à élaborer pour la fin de l’année des normes de sécurité pour les périphériques mobiles et les applications logicielles exécutées sur ces périphériques. Frost & Sullivan DES ORGANISATIONS NUMÉRISÉES QUI EXIGENT UN ACCÈS CONTINU Bien que les violations de données fassent les gros titres des médias et attirent l’attention sur la sécurité, un accès constant et permanent aux données électroniques des patients est plus important pour les activités hospitalières et les soins des patients au quotidien. Alors que les hôpitaux passent à un système entièrement électronique, ils ne peuvent pas fonctionner en toute sécurité sans accès permanent aux données des patients et aux dossiers médicaux électroniques. Cela met en évidence le besoin de solides systèmes de sauvegarde et de reprise après sinistre pour prendre en charge les dossiers médicaux personnels et d’autres systèmes cliniques électroniques cruciaux, tels que les appareils d’imagerie médicale. Comme de plus en plus d’applications cliniques sont installées en couches, la dépendance vis-à-vis du stockage et de la transmission électronique des données des patients augmente de manière exponentielle. Imaginez le scénario suivant : Le système d’information de santé d’un hôpital tombe en panne alors qu'il n’effectue des sauvegardes que de manière intermittente sur des bandes anciennes. Les médecins et infirmiers urgentistes ne peuvent pas accéder aux dossiers médicaux des patients pour orienter les diagnostics et les traitements, la salle d’opérations a dû annuler les chirurgies car les données critiques des patients sont inaccessibles, les médecins ne peuvent pas prescrire de médicaments car leur système de saisie électronique des prescriptions médicales est en panne et les opérations commerciales essentielles telles que la facturation et la planification sont impossibles. La résolution des pannes informatiques peut prendre des jours et les données peuvent s’avérer irrécupérables, empêchant l’hôpital de fournir des soins adéquats. AVANTAGES D’UNE STRATÉGIE DE GESTION DU RISQUE ET DE LA CONFORMITÉ Prendre au sérieux la gestion du risque et de la conformité est une décision commerciale fondamentalement judicieuse. Non seulement celle-ci garantit tous les avantages associés aux technologies pour les informations de santé en général, mais elle protège également les patients, les prestataires, les partenaires commerciaux, les organismes de remboursement et d’autres établissements. Améliorer la satisfaction des patients et des clients Les prestataires de soins dépendent des patients satisfaits et les partenaires commerciaux dépendent des clients satisfaits. La confiance constitue le fondement d’une relation satisfaisante et cette confiance se gagne en démontrant que la confidentialité est une priorité. Réduire le coût des violations de données Les services sanitaires et sociaux et le Ministère de la justice ont montré clairement que la nonconformité coûte cher. Avec l’avènement de la loi HITECH, la barre a été relevée pour encourager la gestion du risque et de la conformité. Des incitations financières pour une utilisation significative, d’importantes sanctions civiles et pénales et des peines d’emprisonnement ont fait pencher la balance en faveur d’investissements judicieux dans des systèmes sécurisés. Établir et gérer sa réputation et sa compétitivité Pour réussir dans le secteur de la santé, vous devez avant tout assurer votre réputation. Les partenaires commerciaux doivent prêter une attention particulière à cet avantage. S’ils ne peuvent pas assurer aux clients qu’ils respectent les réglementations HIPAA et qu’ils gèrent les données de santé confidentielles en toute sécurité, ils n’obtiendront pas les contrats dont ils ont besoin pour survivre et se développer. Frost & Sullivan 9 Promouvoir la médecine factuelle Les dossiers médicaux personnels génèrent une profusion de données cliniques longitudinales pour l’analyse des traitements médicaux et de l’évolution des maladies, mais cela n’est possible que si les données sont partagées entre les prestataires de soins et les chercheurs, ce qui nécessite la garantie que les données de santé confidentielles sont sécurisées. Améliorer la santé publique Les systèmes et programmes de santé publique peuvent être dynamisés en intégrant des échanges d’informations avec les prestataires de soins. Le développement de systèmes d'enregistrement et de surveillance électronique permet aux prestataires de soins de rationaliser le reporting et aux épidémiologistes d’identifier et d’analyser plus rapidement l’évolution des maladies. Cela ne peut être réalisé qu’avec des systèmes sécurisés et conformes aux normes HIPAA. Empêcher les interruptions de service Le plus grand danger pour les opérations quotidiennes est l’interruption de service du système d’informations de santé. Des décisions stratégiques sont prises en fonction des informations cliniques collectées, analysées, transmises et stockées par voie électronique. Les coûts associés à la perte d’accès aux données cliniques vitales sont énormes : le bien-être des patients, la réputation de l’organisme et les risques de faute professionnelle. Améliorer la gestion des contrats Investir dans une gestion de qualité du risque et de la conformité des technologies pour les informations de santé permet également aux prestataires de soins et aux hôpitaux de rationaliser et surveiller les contrats. Lorsque les soins aux patients deviennent plus collaboratifs, le nombre de contrats pour gérer ces relations augmente. Un système d’information de santé bien conçu peut intégrer un système de gestion des contrats qui automatise les processus suivants : vérification du modèle de contrat, autorisation / approbation du contrat, stockage du contrat, gestion de ses différentes versions, rappels du processus de renouvellement et avertissements signalant des expirations imminentes. ÉTAPES VERS UNE GESTION RÉUSSIE DU RISQUE ET DE LA CONFORMITÉ Les cadres et les professionnels de santé peuvent et doivent mettre en oeuvre la gestion du risque et de la conformité dès le début du développement des technologies pour les informations de santé. Une approche de la gestion du risque et de la conformité consiste à suivre un processus comprenant deux phases et neuf étapes (voir le tableau 2). La première phase est l’évaluation (étapes en vert). La seconde phase est la conception et la mise en oeuvre (étapes en bleu). 10 Frost & Sullivan Tableau 2 : Étapes de la gestion du risque et de la conformité Phase d’évaluation Phase de conception et de mise en oeuvre Découvrir et classer les données sensibles Mapper le flux d’informations actuelles Évaluer les risques de violation de données et de non-conformité Évaluer les opportunités d’amélioration des soins de santé et de réduction des coûts Concevoir un plan général Mettre en oeuvre le plan général Évaluer le plan et l’adapter en fonction des besoins Continuer la surveillance et l’adaptation selon les besoins Définir les informations sensibles Source : Frost & Sullivan Il est important de budgétiser et d’exécuter une évaluation assez tôt pour atteindre l'objectif d'une utilisation effective (« Meaningful Use », MU). Les experts juridiques de votre entreprise doivent participer à la phase d’évaluation et à la phase de conception et de mise en oeuvre pour répondre aux exigences de conformité internes, aux lois HITECH et HIPAA et aux critères MU. La phase d’évaluation devrait être un exercice nécessitant un budget d’environ 50 000 $ et un calendrier d’exécution de quatre à cinq semaines. Le budget et le calendrier de la phase de conception et de mise en oeuvre varient en fonction des besoins spécifiques de chaque organisme, mais il faut prévoir au moins 8 à 12 mois depuis le développement du plan général jusqu'à l’évaluation et l'ajustement de la mise en oeuvre initiale. La phase d’évaluation doit inclure les organismes extérieurs qui peuvent avoir accès aux données des patients, tels que les services de transcription médicale, les émetteurs de factures tiers et autres services financiers, les laboratoires pharmaceutiques et pharmacies et les entreprises du secteur des sciences de la vie. Les établissements de santé doivent éduquer leurs partenaires commerciaux concernant leurs exigences en matière de normes associées aux risques et à la conformité, et mettre à jour les contrats pour inclure le respect des lois HIPPA et HITECH. Si l’évaluation détermine qu’un partenaire commercial ne satisfait pas à ces exigences et n’est pas en mesure de s’y conformer, il incombe à l’établissement de santé de mettre fin à sa relation avec cet organisme extérieur sous peine de s’exposer à des sanctions sévères. Définir les informations sensibles : QUELLES DONNÉES DOIVENT ÊTRE PROTÉGÉES ? QUI EST AUTORISÉ À ACCÉDER À CES DONNÉES ? La première étape de la gestion du risque et de la conformité consiste à définir quelles informations sont sensibles et qui est autorisé à y accéder. Un organisme peut définir comme sensibles des informations autres que les données de santé confidentielles visées par la loi HIPAA, en fonction du rôle de ces données et des directives des experts juridiques de l’organisme. Frost & Sullivan 11 Découvrir et classer les données sensibles : OÙ SE TROUVENT CES DONNÉES ? Les informations sensibles peuvent se trouver sur plusieurs sites : stations de travail cliniques, bureaux de facturation, applications, réseaux, lecteurs USB, dossiers médicaux personnels ou dossiers papier. Il est vital de les identifier et les classifier afin de comprendre les besoins d’un prestataire de soins en matière de risques et de conformité, et de développer un plan approprié, avec notamment l'infrastructure nécessaire. Mapper le flux actuel d’informations : OÙ CES DONNÉES SONT-ELLES TRANSMISES ? La compréhension du flux actuel de données d’un organisme permet d'identifier les risques et de mettre au point une gestion de ces risques. Elle permet également de mettre en évidence les domaines dans lesquels il est possible d'améliorer le partage des informations, de renforcer l'efficacité et de réaliser des économies. Évaluer les risques de violation de données et de non-conformité : QUI PEUT ACCÉDER À CES DONNÉES ? Chaque fois qu’un noeud est ajouté à un réseau, les risques de violation des données sont amplifiés. Par exemple, les organismes doivent envisager la sécurité de tous les appareils médicaux qui sont connectés aux systèmes d'information sur les patients. Évaluer les opportunités d’amélioration des soins de santé et de réduction des coûts : COMMENT CES DONNÉES PEUVENT-ELLES AMÉLIORER LES SOINS DE SANTÉ ET RÉDUIRE LES COÛTS ? Un plan portant sur les technologies pour les informations de santé poursuit évidemment des objectifs dépassant la gestion du risque et de la conformité. C'est pourquoi toute bonne évaluation cherchera à combiner ces préoccupations avec les objectifs plus généraux d’amélioration des soins de santé et de réduction des coûts. Un bon système d’information de santé est un système qui intègre tous ces objectifs. Concevoir un plan général : COMMENT CES DONNÉES SONT-ELLES GÉRÉES ET PARTAGÉES ? Un plan général doit inclure : la définition des données sensibles ; qui peut y accéder, qui peut les modifier, le mode de suivi des modifications ; les plans d’audit et d’investigation ; la technologie conforme à la loi HIPAA à utiliser ; la maintenance en cours et les plans de mise à niveau ; les plans de tests et d’évaluation ; les plans de certification, ainsi que le budget et le calendrier. Mettre en oeuvre le plan général : QUAND CES DONNÉES DEVIENNENT-ELLES ACCESSIBLES ET PROTÉGÉES ? Les coûts et le calendrier de mise en place d’un système varient en fonction de la taille de l’organisme et de la complexité de ses besoins, tels que le nombre et les types d’organismes avec lesquels il partage les données de santé confidentielles. Les petites entreprises chargées de tâches limitées, telles que la transcription médicale, doivent prévoir un budget minimum de 3 à 5 millions de dollars et un délai de 14 mois, alors que les échanges d’informations médicales plus importants et plus complexes peuvent nécessiter un investissement d’au moins 15 à 20 millions de dollars et un délai de 24 mois avant de disposer d’un système certifié et totalement opérationnel. Évaluer, planifier et adapter selon les besoins : CES DONNÉES SONT-ELLES SÉCURISÉES ET SOMMES-NOUS EN CONFORMITÉ ? Une évaluation des processus et des résultats est essentielle. L’évaluation des processus détermine si le projet a été mis en oeuvre comme prévu et identifie les difficultés rencontrées lors de son déploiement. L’évaluation des résultats détermine si les objectifs ont été atteints. De nombreuses raisons justifient ces deux évaluations : s’assurer que les futures mises en œuvre se déroulent correctement, s’assurer que le plan est opérationnel et l’ajuster selon les besoins, identifier le personnel qui aurait besoin d’une formation supplémentaire et démontrer aux parties prenantes que le plan fonctionne. 12 Frost & Sullivan Continuer l'évaluation, la surveillance et l’adaptation selon les besoins : CES DONNÉES SONT-ELLES TOUJOURS SÉCURISÉES ET SOMMES-NOUS TOUJOURS EN CONFORMITÉ ? La gestion du risque et de la conformité des technologies pour les informations de santé est un éternel recommencement. Les politiques, les procédures et l’infrastructure demandent à être évaluées régulièrement pour garantir qu’elles répondent aux besoins du moment, qu’elles sont conformes à la réglementation et qu’elles évoluent avec la technologie. Par exemple, la capacité de stockage d’un fournisseur est-elle suffisante pour les tous derniers appareils médicaux ? Un plan général bien conçu minimisera les besoins de mise à niveau des technologies pour les informations de santé, mais l’adoption précoce de technologies avancées est plus économique et plus sûre qu’une adoption réactive et tardive. EXEMPLES DE STRATÉGIES DE GESTION du risque ET DE LA CONFORMITÉ Il existe de nombreuses stratégies et technologies innovantes permettant de gérer les risques et la conformité. La stratégie la plus appropriée pour un organisme dépendra de plusieurs facteurs, tels que le budget, le niveau de complexité des besoins de partage des données, les besoins de stockage des données, les besoins des professionnels et les populations de patients visées. Il est possible de renforcer la sécurité en utilisant des bureaux virtuels, avec lesquels les informations sont hébergées en permanence sur le réseau (au lieu du disque dur d’un appareil), accessibles par connexion sécurisée à partir d'un périphérique donné. Intégrer des métadonnées aux informations, s’assurer que les informations ne peuvent pas être déplacées sauf vers une zone à niveau de sécurité équivalent, et avoir la possibilité de désactiver le téléchargement d’informations : toutes ces options permettent d’accéder aux données en éliminant les risques associés au stockage des données sur des disques durs (par exemple, perte d’ordinateurs portables ou de clés USB non cryptés). Les tableaux de bord (interfaces utilisateur intégrant des informations issues de plusieurs sources) permettent de contrôler les risques et la conformité, ainsi que d’autres mesures telles que les indicateurs clés de performances. Souvent conçus pour ressembler au tableau de bord d’un véhicule, les tableaux de bord informatiques résument les données importantes sous forme graphique. Par ailleurs, en intégrant les informations, ils facilitent une compréhension globale des performances. Un hôpital peut par exemple utiliser un tableau de bord pour contrôler les indicateurs clés de performances et les risques associés à ces indicateurs, ou toutes les mesures de conformité aux lois HIPAA et HITECH10. CONCLUSION Il apparaît clairement que la gestion du risque et de la conformité est nécessaire au développement et à la mise en oeuvre des systèmes de technologies pour les informations de santé. Les prestataires, les partenaires commerciaux et tous les organismes manipulant des données de santé confidentielles doivent prendre au sérieux les risques de violation. La meilleure solution est de travailler avec des professionnels qualifiés pour évaluer votre niveau actuel de risque et de sécurité, pour développer et mettre en oeuvre un plan et pour évaluer et tester régulièrement ce plan. Les coûts associés à une planification seront toujours inférieurs aux coûts associés à une absence de planification. 10 Wolan J., 2010, « Use of Dashboards to Unify Performance, Risk and Compliance Management ». http://blog.idashboards.com/?p=213 (7 avril 2011) Frost & Sullivan 13 ACRONYMES ET DÉFINITIONS ACO : Accountable Care Organization (organisme de soins responsable) Selon le PPACA (Patient Protection and Affordable Care Act), il s’agit d’un réseau de médecins et d’hôpitaux ayant accepté de délivrer tous les soins nécessaires à un minimum de 5 000 patients Medicare. CSF : HITRUST Common Security Framework (cadre commun de sécurité HITRUST) « Cadre qui normalise les exigences de sécurité des établissements de santé, que ce soit fédérales (par ex. : ARRA et HIPAA), au niveau de chaque État (Massachusetts), externes (par ex. : PCI et COBIT) ou gouvernementales (par ex. : NIST, FTC et CMS). »11 Le programme d’assurance du cadre commun de sécurité HITRUST propose des évaluations et des rapports de conformité au vu des exigences des lois HIPAA et HITECH, des États et des partenaires commerciaux. EHR : Electronic Health Record (dossier médical personnel) « Dossier informatisé qui contient les données sur la santé d’une personne, se conforme aux normes d’interopérabilité nationales reconnues et dont les données peuvent être créées, gérées et consultées par des médecins et du personnel autorisé au sein de plusieurs organismes de soins. »12 EMR : Electronic Medical Records (dossiers médicaux informatisés) « Dossier informatisé contenant des données sur la santé d’une personne qui peuvent être créées, regroupées, gérées et consultées par les médecins et le personnel autorisé au sein d’un seul établissement de santé. »13 HIE : Health Information Exchanges (échanges d’informations de santé) « Transfert électronique d’informations de santé entre les établissements et selon des normes reconnues à l’échelle nationale. »14 IT : Information Technology (technologies de l’information) « Application du traitement des informations impliquant du matériel et des logiciels informatiques qui gère le stockage, l'extraction, le partage et l’utilisation d’informations, de données et de connaissances sur la santé à des fins de communication et de prise de décisions. »15 11 12 13 Ibidem 14 Ibidem Brailer D. et Thompson T., 2004, « Health IT Strategic Framework ». Washington, D.C.: Department of Health and Human Services. 15 14 http://www.hitrustalliance.net/assurance/ NAHIT, 2008, « Defining Key Health Information Technology Terms ». Washington, D.C.: Department of Health and Human Services. Frost & Sullivan HITECH : Health Information Technology for Economic and Clinical Health Act Incluse dans l’American Recovery and Reinvestment Act (ARRA) de 2009, cette loi propose des mesures incitant les prestataires à adopter des systèmes de dossiers médicaux électroniques et met l’accent sur les mesures de protection des données personnelles et de sécurité au titre de la loi HIPAA. HITRUST : Health Information Trust Alliance Groupement privé et indépendant établi en collaboration avec des entreprises leaders des secteurs de la santé, des technologies, du commerce et de la sécurité des informations afin de faire de la sécurité des informations l’un des piliers des systèmes et des échanges d’informations médicales. MU : Meaningful Use (utilisation effecttive) Fait référence au critère de la loi HITECH stipulant que les systèmes DMP doivent être utilisés de manière effective. La loi ARRA définit l’utilisation effective comme : l'utilisation de dossiers médicaux personnels certifiés de manière significative ; le recours à une technologie certifiée de dossiers médicaux personnels pour l’échange électronique d’informations de santé afin d’améliorer la qualité des soins ; le recours à une technologie certifiée de dossiers médicaux personnels afin de soumettre des indicateurs de mesure sur la qualité clinique et autres. PCMH : Patient Centered Medical Home (résidence médicalisée centrée sur les patients) « Une résidence médicalisée centrée sur les patients est un modèle de soins avec une équipe dirigée par un médecin personnel qui offre des soins en continu et coordonnés tout au long de la vie d’un patient afin d’optimiser les résultats en matière de santé. Les maisons médicales centrées sur les patients doivent répondre à tous les besoins des patients en matière de soins ou organiser les soins appropriés en collaboration avec d’autres professionnels qualifiés. Cela inclut les services préventifs, le traitement de maladies aiguës et chroniques et l’accompagnement de la fin de vie. Il s’agit d’un modèle de pratique dans lequel une équipe de professionnels de santé, coordonnée par un médecin personnel, collabore afin d’offrir des soins de haute qualité caractérisés par l’accès, la communication, la coordination, l’intégration, la qualité et la sécurité. »16 PHI : Protected Health Information (données de santé confidentielles) Informations sanitaires identifiables de manière individuelle, relatives à l’état de santé physique et mental d’un individu, aux soins qu’il a reçus, au paiement des soins, aux données démographiques ou à des identifiants tels que le nom, l’adresse, la date de naissance ou le numéro de sécurité sociale. PHR : Personal Health Record (dossier personnel de santé) « Dossier informatisé contenant des informations de santé sur un individu, conforme aux normes d’interopérabilité nationales reconnues et pouvant être issu de plusieurs sources mais géré, partagé et contrôlé par l’individu lui-même. »17 16 17 American College of Physicians, 2011, « What is the Patient-Centered Medical Home? ». http://www.acponline.org/running_practice/pcmh/understanding/what.htm (5 avril 2011) NAHIT, 2008, « Defining Key Health Information Technology Terms ». Washington, D.C.: Department of Health and Human Services. Frost & Sullivan 15 Silicon Valley 331 E. Evelyn Ave. Suite 100 Mountain View, CA 94041, USA Tél. : +1 650 475 4500 Fax : +1 650 475 1570 CONTACTEZNOUS San Antonio 7550 West Interstate 10, Suite 400, San Antonio, Texas 78229-5616, États-Unis Tél. : +1 210 348 1000 Fax : +1 210 348 1003 Londres Auckland 4, Grosvenor Gardens, Bangkok London SWIW ODH, Royaume-Uni Pékin Bangalore Tél. : +44 (0)20 7730 3438 Bogota Fax : +44 (0)20 7730 3343 Buenos Aires Le Cap 877.GoFrost Chennai [email protected] Colombo http://www.frost.com Delhi / NCR Dhaka Dubaï Francfort Hong Kong Istanbul Jakarta Kolkata Kuala Lumpur Londres Mexico Milan Moscou Bombay Manhattan Oxford Paris Rockville Centre San Antonio À PROPOS DE FROST & SULLIVAN São Paulo Séoul Shanghai Silicon Valley Singapour Sophia Antipolis Sydney Taipei Tel Frost & Sullivan, partenaire de croissance : un partenaire qui vous permet d’accélérer votre croissance. L’équipe de recherche et de conseil en croissance ainsi que le programme d’adhésion Growth Team Membership™ permettent à nos clients de créer une culture centrée sur la croissance qui génère, évalue et met en oeuvre des stratégies de croissance efficaces. Frost & Sullivan totalise plus de 50 ans d’expérience dans le partenariat avec des entreprises figurant au classement Global 1000, des sociétés émergentes et le secteur de l’investissement, et possède plus de 40 bureaux sur six continents. Pour plus de renseignements sur les services de partenariat pour la croissance de Frost & Sullivan, consultez le site : http://www.frost.com. Aviv Tokyo Toronto Varsovie 16 Pour toute information sur les droits d’utilisation, veuillez contacter : Frost & Sullivan 331 E. Evelyn Ave. Suite 100 Mountain View, CA 94041, USA