L'évolution du référentiel de certification 2024 met en lumière l'importance accrue la maitrise des critères des risques numériques dans le secteur de la santé.
Avec l'introduction de deux nouveaux critères et le renforcement de cinq autres, il devient essentiel de maîtriser ces exigences pour assurer une qualité de soins optimale.
Quels sont les attendus ? Comment les établissements de santé peuvent-ils se préparer efficacement ?
Cet article répond à ces questions, s'appuyant sur les éclairages apportés lors de notre récent webinar.
Pour une compréhension approfondie de ces enjeux, nous vous invitons à visionner le replay du webinar : Certification HAS : décryptage des nouveaux critères risques numériques
Critères risques numériques V2024 : les axes clés de l’évaluation
Le renforcement des critères numériques dans la version 2024 de la certification HAS vise à utiliser le numérique comme levier pour inciter les établissements de santé à améliorer la continuité et la sécurité des soins.
Focus sur la gouvernance et les compétences professionnelles
Les évaluations menées par la HAS porteront principalement sur deux aspects : la gouvernance et les compétences des professionnels de santé.
Concernant la gouvernance, l'accent sera mis sur les stratégies et les mesures organisées par la direction des établissements pour intégrer le numérique dans leurs processus quotidiens.
D'autre part, il sera également évalué comment les professionnels de santé sont formés et informés des pratiques numériques.
L'objectif est de s'assurer que le personnel est non seulement compétent dans l'utilisation des technologies numériques, mais aussi qu'il est en mesure de les exploiter de manière sécurisée et efficace.
Ce n'est pas une inspection technique
Il est crucial de comprendre que ce renforcement des critères numériques ne constitue pas une inspection ou un audit technique des systèmes d'information eux-mêmes.
L'approche choisie par la HAS est de faire appel à des experts visiteurs spécialisés dans le risque numérique.
Ces experts évalueront la dynamique et l'engagement de la gouvernance et des professionnels dans l'adoption et l'optimisation des outils numériques.
Objectif de la HAS : évaluer la qualité de l'utilisation des outils de support numérique
L'objectif central de la Haute Autorité de Santé pour la certification 2024 est d'évaluer l'efficacité de l'utilisation des outils de support numérique dans les établissements de santé, avec un accent particulier sur deux grands axes :
Gestion du risque numérique
La gestion du risque numérique est un volet crucial de l'évaluation.
Les établissements de santé doivent démontrer leur capacité à identifier et gérer les risques numériques qui pourraient affecter non seulement l'infrastructure de l'établissement, mais aussi le personnel et les patients.
Voici les principaux éléments qui seront regardés :
- Cartographie des risques : il sera vérifié si l'établissement a bien identifié les risques numériques à travers des cartographies détaillées.
- Simulations de crise : l'évaluation portera sur l'organisation d'exercices de simulation, notamment en cas de cyberattaque, pour tester la réactivité et l'efficacité des procédures en place.
- Plans de continuité et de reprise d'activité : les PCA et PRA seront examinés pour s'assurer qu'ils incluent des provisions spécifiques pour les scénarios de dégradation due à une cyberattaque, affectant tant les dossiers patients que d'autres logiciels critiques, comme les systèmes de paie (par exemple).
- Formation et sensibilisation : l'établissement doit également prouver l'existence de formations et de sensibilisations régulières pour préparer le personnel à gérer efficacement les risques numériques.
- Intégration dans les plans globaux : il sera demandé si le volet numérique est correctement intégré dans le plan blanc de l'établissement, destiné aux situations sanitaires exceptionnelles.
Promotion du bon usage des outils informatiques
Le deuxième axe majeur concerne la promotion et la vérification de l'utilisation appropriée des outils informatiques disponibles pour le personnel et les patients :
- Mon espace santé : questions sur l'existence, l'accessibilité et l'alimentation de cet espace par l'établissement avec les documents pertinents, ainsi que sur la capacité des professionnels de santé à y accéder et à l'utiliser.
- Messagerie sécurisée : évaluation de la mise en place et du fonctionnement de la messagerie sécurisée, y compris qui y a accès et comment elle est utilisée au sein de l'établissement.
- Identifiant National de Santé (INS) : questions sur la connaissance et l'utilisation de l'INS par le personnel, ainsi que sur les procédures d'admission pour assurer une identification précise.
- Gestion des accès et des mots de passe : vérification des politiques de sécurité concernant l'attribution et la gestion régulière des mots de passe, pour garantir un accès sécurisé aux systèmes.
Des critères numériques évalués par plusieurs experts
Dans le cadre de la certification V2024, la HAS a structuré l'évaluation des critères numériques en impliquant divers experts, dont certains sont spécialisés dans le numérique.
Cette approche multi-expertise vise à enrichir l'évaluation par un croisement de méthodes et une comparaison des résultats obtenus dans différents contextes au sein des établissements de santé.
Expert visiteur numérique seul
Dans certains cas, l'évaluation est menée exclusivement par un expert visiteur numérique, focalisant sur des critères spécifiquement liés à la sécurité et à la gestion des systèmes d’information :
Critère 3.6-02 : Les risques de sécurité numérique sont maîtrisés.
Critère 3.6-06 : L'identification des utilisateurs et des patients dans le système d’information est sécurisée.
Autre expert visiteur seul
Parfois, l'expertise numérique n'est pas requise directement, et c'est un autre expert qui évalue les critères liés plus généralement à la prise en charge des patients :
Critère 1.1-18 : Le patient reçoit une information claire et adaptée à son degré de discernement sur les modalités de sa prise en charge.
Critère 2.3-01 : Les équipes respectent les bonnes pratiques d’identification du patient à toutes les étapes de sa prise en charge.
Collaboration entre l'expert visiteur numérique et un autre expert visiteur
Pour certains critères, la HAS requiert une évaluation conjointe par un expert visiteur numérique et un autre expert visiteur, permettant une analyse intégrée des aspects numériques et cliniques :
Critère 2.2-05 : Les équipes de soins ont accès aux informations du patient avec un système d’information adapté.
Critère 3.1-07 : Les modalités de communication permettent aux usagers et aux médecins de ville de contacter l’établissement aisément.
Critère 3.2-09 : L’établissement est organisé pour permettre au patient d’accéder à son dossier.