Abc-296887-Recommandations Pour La Maitrise de La Qualite Des Systemes Informatiques - XCZVQ38AAQEAAF8NLUMAAAAC-a [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Qualité et accréditation en biologie médicale Ann Biol Clin 2013 ; 71 (Hors série no 1) : 257-274

SG6-04

Recommandations pour la maîtrise de la qualité des systèmes informatiques M. Otter, G. Domas et les membres des groupes de travail de la SFIL*

RÉSUMÉ Après une courte présentation de la Société française d'informatique de laboratoire (SFIL), cet article présente les groupes de travail initiés par la SFIL. A` l'issue de chacun de ces travaux ont été publiés des textes, des recommandations et des outils à destination des biologistes et des industriels et ce, afin que l'informatique de laboratoire devienne un des éléments de la qualité au laboratoire. Des recommandations pour la maîtrise de la qualité des systèmes informatiques, issues de ces documents, sont présentées. MOTS CLÉS : ISO 15189 | accréditation | système informatique | qualité | recommandations

ABSTRACT Guidelines for quality management of laboratory information systems After a short presentation of the SFIL, this article presents the working parties initiated by the SFIL. At the end of each of these works were published texts, recommendations and tools for the biologists and vendors, in order that the laboratory information system becomes a component of medical laboratory quality. Recommendations for quality control of information systems, resulting from these documents, are presented. KEY WORDS: ISO 15189 | accreditation | laboratory information systems | quality | guidelines

* Société française d'informatique de laboratoire (SFIL) : BP 10057, 54502 Vandoeuvre-lès-Nancy cedex – Tél. : 03 83 53 41 21 – site Internet : www.sfil.asso.fr – courriel : [email protected] Ce travail a été réalisé par la SFIL (cf. composition des groupes de travail sur le site Internet). La Société française de biologie clinique (SFBC) a participé au groupe de travail sur le document d'accompagnement pour l'accréditation des laboratoires. Les recommandations correspondantes sont publiées hors ABC ; vous les trouverez en bibliographie.

257

SG6

SG6-04

PROCESSUS SUPPORTS – SG6-04

Recommandations pour la maîtrise de la qualité des systèmes informatiques



Créée en 1985 à l'initiative d'un petit groupe de biologistes férus de micro-informatique, la Société française d'informatique de laboratoire (SFIL) est une association loi 1901, à caractère scientifique, qui regroupe des biologistes (privés et hospitaliers) et des industriels.

Ses buts



Les buts de la SFIL sont de promouvoir le développement et l'évolution des logiciels de laboratoires de biologie médicale (LBM) en adéquation avec les textes réglementaires et les avancées technologiques, et de favoriser les échanges d'idées entre tous les partenaires concernés (biologistes, fournisseurs, organismes publics, etc.).

Ses actions



La SFIL met en place des groupes de travail sur des sujets importants pour l'évolution des systèmes informatiques, ces groupes de travail publient des recommandations pour la bonne utilisation et la maîtrise de l'informatique de laboratoire, et mettent des outils à disposition des biologistes et des fournisseurs de logiciels. En parallèle, la SFIL organise des congrès et des journées de formation, chacun d'eux étant centré sur des thèmes d'actualité et sur la présentation de travaux récents.

Les groupes de travail sont toujours établis en trois groupes de participants d'égale importance : les représentants des laboratoires qui expriment leurs besoins : ■ biologistes privés et publics, ■ bio-informaticiens et responsables de systèmes informatiques, ■ qualiticiens, ■ ... ; les industriels qui indiquent la faisabilité des modifications et des créations envisagées : ■ éditeurs de logiciels (SIL, logiciels de gestion de la qualité, concentrateurs, middleware, etc.), ■ fournisseurs d'automates, ■ ... ; des institutions et des organismes professionnels dont le rôle est de cadrer les discussions en tenant compte des textes légaux existants ou en cours de rédaction :







258

Recommandations pour l'accréditation des laboratoires de biologie médicale

■ ■



■ ■ ■ ■ ■ ■ ■ ■

AFNOR (Agence française de normalisation), ANAP (Agence nationale d'appui à la performance des établissements de santé et médico-sociaux), ANSM (Agence nationale de sécurité du médicament – anciennement Afssaps), ARS (Agences régionales de santé), ASIP Santé (Agence des systèmes d'information partagés de santé), BioQualité, Ordres (médecins et pharmaciens), SDB (Syndicat des biologistes), SFBC (Société française de biologie clinique), SNBH (Syndicat national des biologistes hospitaliers), ...

➜ Méthodologie utilisée Après une présentation du projet à la profession et un appel à participation, le groupe de travail ainsi formé adopte le rythme de réunions mensuelles. Les premières réunions sont dédiées au recensement des textes existants et des organismes concernés par le sujet et à un partage des connaissances des participants. Si nécessaire, des sous-commissions sont créées, leurs travaux seront présentés et validés au cours des réunions mensuelles.

1 Le Guide de bonne utilisation de l'informatique Objet Le Guide de bonne exécution des analyses (GBEA) dans sa première version de 1994 n'abordant pas le thème de l'informatique de laboratoire, il nous a semblé nécessaire de proposer un document qui, calqué sur le format du GBEA, apporte des recommandations pour la bonne utilisation de l'informatique. Ce document publié en février 1999 a été repris en partie dans la version II du GBEA publié en décembre 1999 [1]. De ce fait, un certain nombre des recommandations faites par la SFIL se retrouve dans l'arrêté du 26 novembre 1999 relatif à la bonne exécution des analyses de biologie médicale. Outre celles reprises dans le GBEA II, le Guide de bonne utilisation de l'informatique (GBUI [2]) indiquait un certain nombre de recommandations qui sont toujours d'actualité aujourd'hui car elles concernent des thèmes comme la télémaintenance, la validation biologique, la libération des résultats, la signature électronique, la transmission électronique des résultats et les archives électroniques.

259

3

SG6

PROCESSUS SUPPORTS – SG6-04

Recommandations du Guide de bonne utilisation de l'informatique Extraits II – 5. Protection du secret professionnel et télémaintenance « [...] La connexion du technicien de maintenance doit comporter une procédure d'identification et d'autorisation de celui-ci avec un mot de passe personnel et inscription dans un fichier trace du système de gestion de laboratoire. La procédure de connexion doit identifier la personne effectuant la télémaintenance, en aucun cas une identification de la seule société de maintenance assortie d'un mot de passe générique ne devra être tolérée. Le fichier trace de la télémaintenance doit comprendre outre les indications ci-dessus, la date et l'heure de début, la date et l'heure de fin et la liste des actions ou commandes effectuées par l'opérateur de télémaintenance. » V – 2. Validation biologique informatisée – Aides à la validation « [...] Si le système informatique dispose d'un module d'aide à la validation biologique, ou d'expertise biologique du dossier, le résultat de son analyse doit être disponible à ce niveau. [...] » V – 4. Traçabilité de la validation biologique « [...] Si le système dispose d'un module d'aide à la validation biologique, il est recommandé que le résultat de son analyse soit intégré dans la fiche du patient, tant en ce qui concerne son analyse globale qu'au niveau de chaque paramètre analysé. De même il est recommandé que le système puisse enregistrer, au niveau de la fiche du patient, le code ou l'identité du biologiste ayant effectué la validation biologique. » VI – 3. Signature électronique « [...] Lorsque les comptes rendus sont transmis par voie télématique, il est recommandé qu'ils comportent la totalité des éléments obligatoires tels que définis dans le GBEA (en-tête, mentions fixées réglementairement...), y compris la signature. A` cette fin les systèmes informatiques de laboratoire devront pouvoir permettre l'apposition de la signature électronique du biologiste sur les comptes rendus en utilisant les moyens et les modalités définis réglementairement pour la transmission des feuilles de soins électroniques. Si les comptes rendus sont transmis uniquement par voie télématique, sans transmission a posteriori de documents sur papier, en raison d'un contrat d'interchange avec le médecin concerné, les recommandations précédentes deviennent des obligations. » VII – 2. Transmissions de données nominatives « [...] 1) Les procédures utilisées garantissent la confidentialité, ce qui implique : [...] Dans le cas où le receveur est une personne physique, son identification et son authentification devront comprendre au minimum un code d'accès et un mot de passe de 8 caractères alphanumériques strictement personnels ou utiliser les procédures d'identifications correspondantes à l'utilisation de la carte des professionnels de santé. Dans le cas où le receveur est un ordinateur, il est de la responsabilité de l'administrateur médical de celui-ci de vérifier que seuls les personnels effectivement autorisés aient accès à ces données. [...] »

260

Recommandations pour l'accréditation des laboratoires de biologie médicale

VIII. Archives « [...] 2) Particularités des archives électroniques Si le laboratoire désire conserver des archives uniquement sous forme électronique, il est de la responsabilité du biologiste de vérifier que : – le contenu de ces archives soit consultable et éditable pendant toute la durée légale de conservation ; – le contenu de ces archives permette l'édition de tous les documents légaux ; – le contenu de ces archives permette de reproduire les documents (comptes rendus, journaux...) ce qui implique que tous les éléments variables pouvant influer sur un résultat ou sa présentation (paramétrages du logiciel : noms ou codes des analyses, valeurs de référence, phrasiers, bornes d'interprétation, cotation...) soient présents au niveau des archives ; – le ou les signataires des différents documents y soient clairement et sûrement identifiés. [...] »

2 Le Cahier des charges national pour l'informatisation des laboratoires et ses évolutions Objet En 1975, un cahier des charges avait été mis à disposition des laboratoires hospitaliers. L'évolution rapide des technologies et le format utilisé (document papier) rendant délicat les mises à jour, la Direction générale de la Santé a suggéré à la SFIL une refonte de ce document sous format électronique. Le Cahier des charges national pour l'informatisation des laboratoires (CCN [3]) a ainsi vu le jour avec élargissement du périmètre concerné puisque s'adressant à tous les laboratoires (publics et privés). Le CCN est une aide à la rédaction d'un cahier des charges, il se présente sous la forme d'un catalogue proposant pour chaque fonctionnalité pouvant être présente dans un logiciel de gestion de laboratoire toutes les réponses possibles. Le biologiste choisit la réponse qui correspond à son organisation, à ses besoins et à son mode de fonctionnement.



Exemple « 3.4.4.3. Affichage des delta-checks 3.4.4.3.1. Valeur absolue 3.4.4.3.2. Pourcentage »

261

3

SG6

PROCESSUS SUPPORTS – SG6-04

Recommandation des versions 1 et 2 Les versions 1 (2002) et 2 (2010) du CCN étaient présentées de la façon suivante : un noyau central à réponse obligatoire et comprenant 5 chapitres : ■ accueil, ■ gestion pré-analytique, ■ réalisation des analyses, ■ suivi et gestion analytique, ■ expression des résultats ; des fascicules annexes correspondant à différentes organisations de laboratoires, chaque laboratoire choisissant les fascicules en lien avec ses besoins : ■ exploitations statistiques et gestion d'indicateurs, ■ facturation et encaissements, ■ logistique, ■ administration système, ■ maintenance, ■ archivage, ■ communications et protocoles d'échanges, ■ planification des ressources humaines, ■ incidences de l'organisation, ■ gestion des rendez-vous et pré-accueil, ■ ergonomie, ■ gestion des protocoles cliniques, ■ signature électronique. Pour chaque item, le laboratoire indique s'il est intéressé, si ce choix est facultatif ou s'il ne souhaite pas cette possibilité. Il peut également ajouter des commentaires, des croquis ou des copies d'écran si nécessaire. Lorsque le laboratoire a indiqué toutes ses réponses, le bouton « préparer le CCN » permet de lancer une tâche qui fournit deux documents : un récapitulatif de toutes les fonctionnalités souhaitées par le laboratoire avec toutes ses déclinaisons ; un récapitulatif des propositions qui n'ont pas été retenues par le laboratoire, ce qui permet de vérifier que rien n'a été omis. Le laboratoire dispose alors d'un cahier des charges personnalisé correspondant à ses besoins et à son mode de fonctionnement. Il peut alors le joindre à son cahier des clauses techniques particulières (CCTP) (cas d'un laboratoire public) ou l'envoyer directement aux éditeurs avec lesquels il est en contact (cas d'un laboratoire privé) ; ainsi, les réponses des industriels, si elles sont faites également sur ce cahier des charges, peuvent être facilement comparées.





• •

Recommandations de la version 3 La version 3 (janvier 2013) a été complètement revue afin d'être en adéquation avec les textes réglementaires publiés depuis 2010 (Ordonnance du 13 janvier 2010 relative 262

Recommandations pour l'accréditation des laboratoires de biologie médicale

à la biologie médicale [4], normes NF EN ISO 15189 [5] et 22870 [6], Code de la Santé publique [7], recommandations de la CNIL, recommandations de l'ASIP, etc.). La présentation en est différente : un noyau principal comprenant 3 chapitres dans le sens de la norme NF EN ISO 15189 : pré-analytique, analytique et post-analytique ; des chapitres annexes : sécurité, tableaux de bord, colisage... ; dans la mesure du possible, il est indiqué pour chacune des fonctionnalités l'article de la norme auquel il faut se référer, voire le lien avec d'autres textes réglementaires :

• • •

Extraits 2.2.2.5 Renseignements liés à l'analyse 2.2.2.5.1 Libellé 2.2.2.5.1.1 Nom complet 2.2.2.5.1.2 Libellé court 2.2.2.5.1.3 Code (Identification univoque et claire des analyses) 2.2.2.5.2 Unités 3.2.3.8 Saisie de l'interprétation contextuelle du dossier

5.8.3 a 5.6.3 et 5.8.3 h Ordonnance du 15/10/2010 Art. L. 6211-2 alinéa 3

3.6.2.1.2 Du patient 3.6.2.1.2.1 Mineur 3.6.2.1.2.2 Patient sous tutelle 3.6.3.2 Fax (uniquement à destination d'un professionnel de santé et après signature d'une convention. Cette convention devra reprendre les thèmes suivants : confidentialité [localisation du fax], affichage de l'identification du destinataire lors de l'envoi du document, accès personnel permettant l'impression du document, adresses pré-enregistrées dans le SIL)

Article L. 1111-2 du code de la santé publique

Article R. 1110-1 du code de la santé publique – CNIL fiches pratiques « données de santé, email et fax »

3.6.3.3 Email (Messagerie sécurisée exclusivement – module de chiffrement des données inclus)

Ce CCN version 3 est accompagné d'un glossaire regroupant les définitions officielles des termes employés. Exemple :

263

3

SG6

PROCESSUS SUPPORTS – SG6-04

➜ CI-SIS : « Cadre d'Interopérabilité des Systèmes d'Information de Santé. Dans lequel le volet “compte rendu de biologie” préconise l'utilisation : ■ du profil XD-LAB d'IHE ; ■ du format CDA R2 Édition normative d'HL7 International ; ■ du jeu de valeurs des analyses élémentaires de biologie LOINC international et de sa version française LOINC-Fr. Source : http://esante.gouv.fr/sites/default/files/CI-SIS_CONTENU_VOLET-CR-BIOLOGIE_ v1.2.0.0.pdf http://esante.gouv.fr/services/referentiels/interoperabilite/ci-sis-interoperabilite-semantique-loinc-pour-resultats-de-bi »





3 Les scénarios de signature électronique Objet En attendant la publication du décret d'application de la signature électronique, la SFIL a proposé un certain nombre de recommandations pour la mise en conformité des systèmes d'information de biologie [8] et a développé des scénarios pour l'utilisation de la signature électronique [9].

Recommandations pour la mise en conformité des systèmes d'information de laboratoires La mise en place de la signature électronique nécessite la définition d'un espace de confiance numérique où l'on pourra identifier et authentifier de manière sûre les acteurs, signer et vérifier l'intégrité d'un document ou d'un flux numérique et échanger des documents confidentiels. Cet espace comprend deux cercles : un cercle interne au laboratoire avec mise en place de l'authentification des acteurs qui interviennent au niveau du système d'information du laboratoire (SIL) : ■ authentification et profil des utilisateurs, ■ gestion des annuaires, ■ gestion des sessions de travail et traçabilité des actions ; un cercle extérieur au laboratoire : ■ transmission des résultats de biologie, ■ prescription connectée, ■ dossier médical partagé, ■ biologie délocalisée, ■ échanges inter-laboratoires ou inter-établissements ;





264

Recommandations pour l'accréditation des laboratoires de biologie médicale

où il est nécessaire de sécuriser les échanges et de développer les notions d'authentification pour les utilisateurs « extérieurs ».

f:\2000\image\152259\otter\1

Scénarios de signature électronique La validation biologique et la signature électronique sont deux fonctionnalités différentes mais que l'on peut envisager, d'un point de vue technique, de coupler, en particulier lorsqu'il n'y a qu'un seul valideur pour le dossier à diffuser. Dans ce cas, la validation et la signature seront effectuées en même temps, dossier par dossier. Deuxième cas de figure, plusieurs biologistes interviennent en tant que valideur pour un même dossier, la signature permettant la diffusion du dossier pourra alors être réalisée selon plusieurs schémas [Figure 1]. ➜ FIGURE 1

En partant de ce principe, 4 scénarios ont été élaborés pour l'application de la signature électronique. Dans ces scénarios, nous avons choisi le cas où l'authentification s'opérerait avec la carte professionnelle de santé (CPS). Toutefois, quel que soit le support d'authentification qui sera identifié dans le décret d'application, le principe de ces scénarios sera applicable. ➜ Scénario 1 : décision de signer prise au moment de la validation Les deux fonctionnalités (validation et signature) sont intégrées en une seule tâche. Cette tâche s'effectue dossier par dossier avec ressaisie ou non du code porteur à chaque dossier, le Scénario 1a étant, de loin, privilégié.

265

3

f:\2000\image\152259\otter\2 f:\2000\image\152259\otter\3

SG6

PROCESSUS SUPPORTS – SG6-04

➜ SCÉNARIO 1

➜ Scénario 2 : signature de comptes rendus déjà validés, déclenchant la diffusion Dans ce scénario, le biologiste signe les comptes rendus validés (par lui-même ou d'autres biologistes), dossier par dossier. ➜ SCÉNARIO 2

266

f:\2000\image\152259\otter\4

Recommandations pour l'accréditation des laboratoires de biologie médicale

➜ Scénario 3 : signature d'un lot de comptes rendus validés Un lot de comptes rendus a été validé, ils sont prêts à être diffusés, le biologiste donne son autorisation pour que ce lot de comptes rendus soit diffusé avec sa signature. ➜ SCÉNARIO 3

➜ Scénario 4 : signatures de comptes rendus validés en parallèle à une autre activité Le biologiste indique au système qu'il prend la responsabilité de signer tous les comptes rendus qui vont être prêts à être diffusés. Cette signature s'effectuera automatiquement au nom du biologiste tant que sa carte sera insérée dans le lecteur. Le biologiste pourra pendant ce temps être occupé à une autre tâche nécessitant, elle aussi, son authentification comme la validation. Dans cette proposition, plusieurs biologistes peuvent déclarer prendre cette responsabilité pendant le même intervalle de temps, le système gère alors une liste de biologistes actifs et optimise l'exploitation des cartes CPS présentes.

267

3

f:\2000\image\152259\otter\5

SG6

PROCESSUS SUPPORTS – SG6-04

➜ SCÉNARIO 4

Ces scénarios ont été présentés à l'Agence des systèmes d'information partagés de santé (ASIP santé) ; la publication du décret d'application de la signature électronique nous permettra de savoir ceux qui pourront être mis en application.

268

Recommandations pour l'accréditation des laboratoires de biologie médicale

4 Le document d'accompagnement pour l'accréditation des laboratoires à destination des biologistes et des éditeurs de logiciels de laboratoire de biologie médicale (réalisé en partenariat avec la SFBC) Objet L'informatique fait partie intégrante du périmètre de l'accréditation des LBM, toutefois cette approche n'est pas toujours évidente pour les biologistes, et il nous a paru nécessaire de faire une « explication de texte » concernant les articles de l'annexe B de la norme NF EN ISO 15189 ainsi que les articles des chapitres 4 et 5 dès lors qu'ils s'appliquent à l'informatique [10].

Recommandations Ce document [11] se présente sous la forme d'un tableau de 4 colonnes : les articles de la norme NF EN ISO 15189 qui concernent l'informatique ; la contribution des fournisseurs par rapport à cet article (fourniture de documents ou de formulaires, engagement, etc.) ; les recommandations concernant le laboratoire : y compris les services support lorsqu'ils sont hors du laboratoire, par exemple la direction informatique (cf. document COFRAC : SH REF 02 § 4.1.5) [12] ; les fonctionnalités impactées par cet article de la norme.

• • • •

Extraits

Chapitre 4 4.3 Maîtrise documentaire • 4.3.4 Le laboratoire doit définir, documenter et mettre à jour les procédures de maîtrise de tous les documents et informations (de sources internes et externes) qui constituent sa documentation de qualité. Un exemplaire de chacun des documents doit être archivé pour toute consultation ultérieure et le directeur du laboratoire doit définir la période de conservation. Ces documents maîtrisés peuvent se présenter sur tout support

Fournisseurs

Laboratoires

• Cet article souligne le fait qu'il est indispensable de disposer de la documentation à jour de tous les logiciels disponibles dans le laboratoire (SIL, ou autres).

• Le laboratoire doit s'assurer que sa documentation fournisseur est à jour dès qu'une modification est effectuée sur un logiciel. Toute modification apportée en interne doit également être documentée.

Fonctionnalités correspondantes

269

3

SG6

PROCESSUS SUPPORTS – SG6-04

approprié, y compris papier ou autre. Des réglementations locales, régionales, ou nationales relatives à la conservation des documents peuvent s'appliquer. Note : dans le présent contexte, un « document » est un enregistrement de toute information ou instruction, y compris les déclarations de politiques, manuels, procédures, spécifications, tables d'étalonnages, intervalle de référence biologique et leur origine, diagramme, affiches, notices, logiciels, croquis, plans et documents provenant d'une source extérieure, tels que réglement, normes ou procédure analytique. Chapitre 5 5.1 Personnel • 5.1.7 La direction du laboratoire doit autoriser le personnel à effectuer des tâches particulières telles que l'aliquotage, l'analyse, l'utilisation de types particuliers d'équipement, y compris l'utilisation d'ordinateurs appartenant au système informatique du laboratoire.

• Le laboratoire définit les fonctions liées aux profils et les attribue aux utilisateurs.

• De même que pour les tâches techniques, chaque membre du personnel doit avoir un « profil » qui indique les tâches informatiques auquel il est habilité.

• Politique de sécurité du laboratoire : traçabilité des actions sur toute opération informatique (par le code d'accès de l'utilisateur).

• Fichiers d'audit ou de traces alliant traçabilité des connexions des utilisateurs et des tâches effectuées (audit des modifications).

Annexe B • B.5.8 Il convient de mettre en place un mécanisme d'audit destiné à identifier tout individu ayant introduit ou modifié des données relatives aux patients, aux dossiers de contrôle ou aux programmes informatiques.

270

• Si la modification a été faite par le fournisseur, fourniture d'une attestation indiquant la modification, les programmes ou fonctionnalités impactés et les tests effectués en amont.

Recommandations pour l'accréditation des laboratoires de biologie médicale

• B.7.4 Il est recommandé de vérifier, valider et documenter complètement toute modification apportée à un logiciel ou au matériel du système pour agréer les modifications comme admissibles et adéquates.

• Traçabilité de chaque mise à jour avec documentation s'y rapportant, le fournisseur doit garantir que les modifications réalisées ont été testées et qu'elles n'ont pas d'impact sur le bon fonctionnement du SIL. La certification suivant des référentiels tels que ISO 9001 ou 13485 attestent de cette garantie. • Indications pour la mise en place de jeux d'essais et base de tests.

• Le biologiste devra ensuite vérifier que la modification n'altère en rien le bon fonctionnement du SIL dans son environnement (validation du logiciel avec l'aide du fournisseur, le cas échéant).

5 La maquette de charte d'utilisation du système d'information dans un laboratoire de biologie médicale Objet Le personnel des LBM est amené à utiliser l'informatique du laboratoire de plus en plus fréquemment. Afin d'assurer la sécurité informatique et de responsabiliser les utilisateurs, il est devenu nécessaire d'établir un « code de bonne conduite » ayant pour objet de préciser la responsabilité de chacun (utilisateurs et administrateurs) en accord avec la réglementation afin d'instaurer un usage correct des ressources informatiques et des services Internet avec des règles minimales de courtoisie et de respect d'autrui [13, 14]. « La sécurité informatique dans l'entreprise est un objectif qui doit être partagé et qui ne peut être atteint que dans un climat de loyauté et de confiance réciproque » (Rapport CNIL, mars 2001 [15]).

Nous avons donc rédigé une maquette de ce code de bonne conduite [16], maquette pour laquelle nous nous sommes basés sur les objectifs de sécurité permettant le bon fonctionnement d'un système d'information ainsi que sur les règles de sécurité des données : 271

3

SG6

PROCESSUS SUPPORTS – SG6-04

intégrité, confidentialité, ■ disponibilité, ■ non-répudiation, ■ authentification, ■ continuité du service ; et sur les textes légaux en vigueur. Les recommandations destinées aux utilisateurs sont présentées dans deux chapitres : sécurité des accès au système ; utilisation du système. Chaque entité juridique et/ou biologiste responsable peut s'inspirer des items décrits dans ces chapitres, les compléter ou les modifier en fonction de son organisation et des outils informatiques mis à disposition du personnel afin d'élaborer sa propre charte d'utilisation qu'il intégrera à son système qualité. ■ ■

• •



Ces recommandations peuvent également être intégrées au contrat établi entre le biologiste responsable et le service informatique dans les établissements de santé.

Recommandations Extraits

« Sécurité des accès au système • Utilisation de login et mots de passe personnels et confidentiels • [...] • Droits d'accès limités aux besoins des différents types d'utilisateurs (profils utilisateurs liés au mot de passe) • [...] • Mise en place de déconnexion automatique sur les postes clients • [...] Utilisation du système

Utilisation courante des ressources informatiques • Interdiction d'utiliser les ressources informatiques en dehors du cadre professionnel • Utilisation exceptionnelle à des fins personnelles régie par le règlement intérieur, de même que les utilisations abusives • [...] Droits de reproduction et respect du droit de la propriété intellectuelle • Respect des termes et conditions de la licence d'utilisation des logiciels • Interdiction de reproduire des logiciels commerciaux sauf pour copie de sauvegarde • Respect des droits de propriété intellectuelle sur les oeuvres protégées

272

Recommandations pour l'accréditation des laboratoires de biologie médicale

Utilisation d'équipements étrangers au laboratoire • Interdiction d'utiliser du matériel étranger au laboratoire (ordinateur personnel...) sans l'autorisation du responsable informatique • Interdiction d'utiliser des supports externes de données (disquettes, disques durs externes, cd, dvd, clés USB, baladeurs mp3, téléphones portables...) sans l'autorisation du responsable informatique • [...] Antivirus • Interdiction de désactiver et/ou de désinstaller les logiciels antivirus • Interdiction de modifier le paramétrage du logiciel antivirus. »



Les travaux à venir Deux types de travaux vont être abordés : ■ dans le cadre de l'aide à l'accréditation, réalisation de maquettes : – convention de preuve, – contrats avec d'autres professionnels de santé, – check-lists pour la qualification des logiciels, – etc. ; ■ sur le thème des échanges de données : – harmonisation des échanges de données entre laboratoires de première intention et laboratoires spécialisés (réception des informations, envoi des résultats et facturation), – transmission de l'identité des patients en prescription à domicile vers les LBM. En parallèle de ces nouveaux travaux, les évolutions du CCN et du document d'accompagnement pour l'accréditation des laboratoires seront menées pour appliquer les exigences de la norme NF EN ISO 15189 dans sa version 2012 [17].

Liens d'intérêts : aucun

• Références 1. Arrêté du 26 novembre 1999 relatif à la bonne exécution des analyses de biologie médicale (GBEA). JORF du 11 décembre 1999. 2. Le GBUI : Guide de bonne utilisation de l'informatique. SFIL, 1999. 3. Le CCN : Cahier des charges national pour l'informatisation des laboratoires. SFIL, 2013 (1re éd. 2002 – 2e éd. 2010). 4. Ordonnance No 2010-49 du 13 janvier 2010 relative à la biologie médicale. JORF no 12 du 15 janvier 2010. 273

3

SG6

PROCESSUS SUPPORTS – SG6-04

5. NF EN ISO 15189 : Exigences particulières concernant la qualité et la compétence. Saint-Denis : AFNOR, août 2007. 6. NF EN ISO 22870 : Analyses de biologie médicale délocalisées (ADBD) : exigences concernant la qualité et la compétence. Saint-Denis : AFNOR, février 2006. 7. Code de la Santé publique. LEGIFRANCE, version en vigueur au 4 novembre 2012. 8. Otter M. Utilisation du système CPS en biologie : réflexions sur la mise en conformité des systèmes d'information de biologie. Spectra Biologie 2009 ; 172 : 49-51. 9. Otter M. En attendant le décret d'application de la signature électronique : réflexions sur la libération des résultats. Feuillets de biologie 2011 ; 300 : 49-52. 10. Otter M. Accréditation des laboratoires et informatique : un nouvel outil à la disposition des biologistes et des éditeurs. Spectra Biologie 2011 ; 191 : 40-3. 11. Document d'accompagnement pour l'accréditation des laboratoires à destination des biologistes et des éditeurs de logiciels de LBM. SFIL, 2011. 12. SH REF 02 : Recueil d'exigences spécifiques pour l'accréditation des laboratoires de biologie médicale. COFRAC, 2010. 13. Monneret I. Pourquoi parler de sécurité informatique au laboratoire ? Biologistes Infos 2012 ; 60 : 68-70. 14. Otter M. Systèmes d'informations en laboratoire : une charte pour vous guider. Biologie Médicale 2013 (à paraître). 15. Rapport sur la cyber surveillance des salariés dans l'entreprise. CNIL, 28 mars 2001. 16. Charte d'utilisation du système d'information dans un laboratoire de biologie médicale. SFIL, 2012. 17. NF EN ISO 15189 : Exigences concernant la qualité et la compétence. AFNOR, 2012.

274