Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

dossier-medical-copie-1.jpg

Une femme de 37 ans découvre son dossier médical sur internet...

 

Source : ZEBULON.FR

Internet réserve toujours des surprises. C'est en tout cas ce que vient d'apprendre une femme de 37 ans qui a découvert sur la toile un site proposant les détails de son accouchement. Celui-ci qui a eu lieu quatre ans et demi auparavant est donc disponible en accès libre sur internet. C'est en tapant son nom sur un moteur de recherche que la jeune femme a fait cette surprenante découverte le 11 février dernier. C'est le journal La Provence qui relate cette mésaventure.

Cette femme n'y croyait pas mais en tapant son nom sur un moteur de recherche, elle a découvert les détails de son accouchement. Celui-ci est accessible à n'importe quel internaute. Cette femme de 37 ans a accouché il y a un peu plus de quatre maintenant à l'hôpital Nord de Marseille. De plus, son numéro de sécurité sociale est également divulgué sur ce site. On peut même consulter l'état de santé de son bébé à la naissance : « pâleur cutanée, signe de détresse respiratoire, cyanose du visage, transfert en réanimation. »

Cette femme a aussitôt porté plainte auprès de la brigade de Gendarmerie de Bourg-Saint-Andéol, en Ardèche où elle réside. Il s'avère que de nombreuses personnes ont également été victime de cette divulgation de dossiers médicaux. Cette femme indique qu'elle a pu consulter des dizaines de dossiers de patients.

La direction de l'hôpital Nord de Marseille a aussitôt lancé une enquête interne afin de trouver la fuite. Selon les premières informations, il semblerait que la fuite provienne d'un fichier rassemblant des données sur les enfants prématurés. « Les médecins qui ont mené cette étude l'ont fait héberger à l'extérieur de l'hôpital par un site qui n'avait pas pris toutes les précautions pour en garantir la confidentialité » indique le directeur général adjoint de l'Assistance publique des hôpitaux de Marseille (AP-HM). Cette erreur aurait été corrigée et l'Assistance Publique présente ses excuses aux patients victimes.

--------------------------------------------------------------------------------------

Il s'agit clairement d'un incident de sécurité lié à la divulgation de données médicales personnelles. C'est l'un des secteurs les plus "protégés" de nos données au sens où le ministère de la santé oblige tout hébergeur de données de ce type à un agrément ASIP santé. Il existe même une liste d'hébergeurs agréés de manière à ce que la profession médicale puisse choisir en toute connaissance de cause. Il y a en a un peu moins de 50, et ils sont agréés, non pas pour l'ensemble de leur site mais pour une ou plusieurs applications spécifiées. De même la CNIL est très soucieuse des données médicales considérées comme parmi les plus sensibles et on le comprend très bien.

Comment donc une telle bévue -qui n'est pas isolée puisque depuis plusieurs mois d'autres cas de mauvaise protection de données médicales sont apparus- est-elle possible ?

Bien que quelques CHU (Centre Hospitalier Universitaire) aient demandé l'agrément, les hopitaux, cliniques et médecins ou autres opérateurs de dossiers médicaux sont dispensés de cet agrément pour les données médicales de leurs patients hebergées dans leur propre système d'informations ! Autrement dit, s'il s'agit d'un hébergeur professionnel il doit obtenir l'agrément pour héberger des dossiers médicaux, mais pas s'il s'agit d'un professionnel de santé ! J'ai vérifié et reverifié cette assertion, y compris au ministère de la santé.

Voici la liste des CHU et assimilés qui ont obtenu un agrément ASIP santé (source ASIP santé) :

  • CHU de Nantes
    Le CHU de Nantes est agréé pour une prestation d’hébergement d’applications fournies par les clients et gérant des données de santé à caractère personnel, ainsi que pour une prestation d’hébergement de serveurs contenant des données de santé à caractère personnel.
  • CHU de Nice
    Le CHU de Nice est agréé pour l’hébergement de données de santé à caractère personnel via l’application e-nadis.
  • Syndicat Interhospitalier du Limousin. Le Syndicat Interhospitalier du Limousin est agréé pour un service d’hébergement de données de santé à caractère personnel gérées par des applications métiers fournies par leurs adhérents et gérant des données de santé à caractère personnel, ainsi que pour un service de stockage de données de santé à caractère personnel dans le cadre de plans de continuité et de reprise d’activité (PCA/PRA).
  • Syndicat Interhospitalier de Bretagne
    Le Syndicat Interhospitalier de Bretagne (SIB) est agréé pour l’hébergement de données de santé à caractère personnel  gérées via la solution applicative ALFA-LIMA qui apporte aux clients des fonctionnalités de gestion « métiers».
  • Syndicat Interhospitalier de Bretagne
    Le Syndicat Interhospitalier de Bretagne (SIB) est agréé pour une prestation d’hébergement d’applications confiées par ses clients (membres du SIB) et gérant des données de santé à caractère personnel à des fins de suivi médical.
  • Syndicat interhospitalier d’informatique hospitalière du Nord-Pas-de-Calais
    Le Syndicat interhospitalier d’informatique hospitalière du Nord-Pas-de-Calais (SiiH) est agréé pour l'hébergement d'applications fournies par les clients et gérant des données de santé à caractère personnel.

Les autres CHU n'en ont pas (et n'en ont pas besoin!) notamment le CHU Marseille Nord. Par ailleurs, l'accès à ces données médicales par internet a été effectué non pas sur le système d'information du CHU mais sur un site hébergeur choisi par les médecins pour consolider et accéder à une étude. Ils ont donc pu choisir, apparemment à l'insu de l'hopital, un hébergeur et également recopier des dossiers médicaux, à l'insu du RSSI et de tout système de sécurisation des données et de lutte contre la fuite d'informations sensibles !

 

Je me suis donc renseigné sur la sécurité du système d'informations du CHU de Marseille Nord et bien entendu j'ai trouvé le rapport d'audit de certification par la Haute Autorité de Santé sur Internet !

 

Le chapitre 4 est particulièrement intéressant:

Référence 4 : La politique du système d’information et du dossier du patient.

Critère 4a : La politique du système d’information est définie en cohérence avec les orientations stratégiques de l’établissement.

Éléments d’appréciation (EA)  Réponses aux EA  (Présent : OUI, EN PARTIE, NON, NA)

Prise en compte dans le schéma directeur du système d’information (SI), des orientations stratégiques de l’établissement: OUI

Connaissance et prise en compte des besoins des utilisateurs dans les projets du SI: OUI

Projets du SI définis, hiérarchisés et structurés en fonction des processus à optimiser et en recherchant l’adhésion des professionnels concernés: EN PARTIE

L’établissement dispose de nombreuses applications informatiques couvrant les

différentes fonctions médicales, médicotechniques, administratives et logistiques. De nombreux développements ont été effectués par le service informatique de l’établissement en associant les professionnels concernés et permettant une meilleure ergonomie des différents processus de prise en charge des fonctions cliniques et des fonctions support. La couverture des besoins reste cependant disparate selon les disciplines et l’état d’avancement est variable selon les sites : interfaçage logiciel psychiatrie/pharmacie sur un des deux sites seulement. La procédure de choix d’un dossier patient informatisé (DPI) couvrant l’ensemble du processus de prise en charge du patient a permis d’associer un grand nombre de professionnels et constitue une structuration majeure du système d’information.

Cependant, les reports successifs du déploiement de ce DPI ont mis en évidence deux constats :

- une communication difficile sur les dates prévisionnelles de mise en oeuvre ;

- des fonctionnalités sensibles non assurées dans l’immédiat

(identitovigilance).

 

Politique formalisée du dossier du patient:  OUI

Association des différents professionnels et instances à l’élaboration de la politique du dossier du patient: OUI

Politique du dossier du patient favorisant la confidentialité, la fiabilité, l’accessibilité, la sécurité et le stockage des informations ainsi que la coordination des professionnels et des secteurs d’activité: OUI

Règles de constitution, de tenue, de communication et de conservation du dossier du patient: OUI

---------------------------------------------------------------------

En lisant ce rapport d'audit public on voit clairement qu'il a été répondu "OUI" sans préciser comment et avec quels constats (référence à la procédure interne, preuves par interview avec le nom de l'interviewé et la date, analyse des journaux informatiques et des enregistrements papier, etc...). En tant que Lead Auditeur ISO27001 et suivant les bonnes règles et pratiques d'audit ISO19011, j'affirme qu'il n'est pas possible de répondre "OUI" ou "non conforme" sans avancer de preuves. En résumé, les clauses de l'audit auxquelles il a été répondu "OUI" sans constat font aujourd'hui défaut: défaut de confidentialité, défaut d'application de règles de protection du dossier du patient.  

 

Comment rectifier tout celà avant que les utilisateurs du système de santé perdent complètement confiance dans le système (comme cela vient de s'avérer pour la traçabilité alimentaire) ? La réponse est la même dans tous les cas:

1- Il faut que l'audit soit mené par une tierce partie, non partie prenante dans le système de santé.  

2- Tout système d'information qui héberge des données sensibles doit être audité.

3- Un référentiel d'audit permettant d'atteindre un "minimum d'hygiène" doit être utilisé. (voir le site de l'ANSSI à ce propos).

4- Un plan d'actions correctives immédiates doit être mis en oeuvre dès la fin de l'audit.

Dans le prochain article je vais donc traiter de l'architecture cible sécurisée idéale d'un hébergeur de données sensibles basée sur le respect des meilleures règles de sécurité, notamment pour assurer la confidentialité, l'intégrité, la disponibilité et la traçabilité. Cela permettra de créer un réferentiel d'audit pratique indépendamment du logiciel hébergé et de ses failles de sécurité éventuelles. La mise en oeuvre de cette architecture permettra -à minima- d'éviter de tels incidents.


Tag(s) : #Sécurité Informatique

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :