Le 12 septembre dernier, la Haute Autorité de santé (HAS), a organisé un webinaire de rentrée. L’événement a été l’occasion de présenter les ajustements du référentiel 2024 applicables dès le 1ᵉʳ janvier ainsi que les nouveaux outils d’information et des témoignages d'établissements déjà visités.
Dans cet article, découvrez le compte-rendu des ajustements majeurs du référentiel pour mieux comprendre leur impact sur la certification des établissements de santé.
Ajustements 2024 : les 5 sujets marquants
Parmi les cinq sujets marquants de ces ajustements, on note :
- L’évolution de l’exigence sur les critères liés à la check-list
- Le renforcement de la thématique numérique en santé
- Le changement de méthode (transport & recours à des mesures restrictives de liberté)
- L’extension de la notion de consignes de suivi à la sortie
- Le renforcement du critère sur les risques environnementaux.
À partir du 1ᵉʳ janvier 2024, le manuel de certification V2024 sera appliqué non seulement aux visites « initiales », mais aussi aux secondes visites après décision de certification sous conditions ou non certification. Ce changement vise à garantir une continuité dans l'application des normes de qualité des soins.
Changement de niveau d’exigence de deux critères
Au niveau de la check-list (CL) secteur interventionnel, deux critères changent de niveau d’exigence :
Critère 2.2-12 Au bloc et dans les secteurs interventionnels, la check-list «Sécurité du patient» est utilisée de manière efficace
- Impératif (2023)→ Standard (2024)
Critère 2.4-06 Les équipes des secteurs interventionnels améliorent leurs pratiques en analysant les modalités de réalisation de la check-list
- Standard (2023)→ Impératif (2024)
Renforcement de la thématique numérique en santé
Renforcer la thématique numérique en santé est le gros enjeu de ces ajustements.
La décision de renforcer des critères numériques dans le processus de certification des établissements de santé est motivé par trois raisons essentielles :
1. Répondre à l’enjeu fort de la sécurité informatique :
- pour assurer la continuité d’activité et la sécurité des soins
- pour gérer les risques de cyberattaques sur le soin
2. S’inscrire en cohérence avec les politiques publiques en matière de numérique et de sécurité telles que :
- Le Ségur du numérique en santé (HOP’EN, SUN-ES…)
- La Feuille de route du numérique en santé 2023-2027
- Le Programme CaRE
3. Mieux intégrer le numérique dans la qualité des pratiques
Les nouveaux ajustements 2024 des 7 critères numériques
Dans le référentiel de certification 2024, on compte sept critères numériques :
- Cinq critères ont été renforcés au niveau des éléments d’évaluation
- Deux nouveaux critères ont été ajoutés.
Ces critères numériques s’orientent autour de deux grands objectifs :
1 - Gestion des risques numériques
Dans les grandes lignes, il s’agit de regarder :
- Si l’établissement a identifié les risques
- Si l’établissement a formalisé des exercices de mise en œuvre pour la continuité d’activité, et anticipé des procédures en mode dégradé
- S'il existe une action de sensibilisation, de formation/ acculturation à l’hygiène numérique
- Ce qu’a fait l’établissement du plan d’actions suite aux audits réguliers des Systèmes d’Information (SI).
Dans le référentiel 2024, deux critères font référence à la thématique :
• Critère 3.6-02 : Maîtrise par l’ES du risque de sécurité numérique - (CRITÈRE RENFORCÉ)
• Critère 3.6-06 : Sécurisation de l’identification des professionnels dans le SI - (NOUVEAU CRITÈRE)
Voici les détails des ajustements de ces deux critères :
Maîtrise par l’ES du risque de sécurité numérique
• Critère 3.6-02 : Les risques de sécurité numérique sont maîtrisés
Tout l’établissement - Standard
Il s'agit de renforcer la sécurisation cyber sur neufs éléments d’évaluation :
Éléments d’évaluation - Audit système
Gouvernance
. L'établissement a déployé un Plan de Continuité d'Activité et un Plan de reprise d'activité dans tous les secteurs.
. L'établissement a mis en place les correctifs à 6,12 et 18 mois sur les actions critiques recommandés par l'audit de sécurité numérique.
. L'établissement organise régulièrement des actions de sensibilisation individualisées pour les professionnels de santé.
. L’établissement a démarré un plan de formation pluriannuel à la sécurité informatique et à la mise en œuvre du mode dégradé pour tous les professionnels concernés.
. L'établissement a formé des référents sécurité SI en relais des équipes SI dans les secteurs les plus à risques.
. Les incidents significatifs ou graves de sécurité des systèmes d'information sont déclarés sans délai auprès de l'Agence du numérique en santé. Les recommandations et les mesures d'urgence proposées par l’ANSSI, pour limiter l'impact de ceux-ci et destinées à améliorer leur sécurité sont mises en œuvre.
Professionnels
. Les équipes connaissent les conduites à tenir en cas d'incident/d'attaque (contact du référent de la sécurité numérique, mise en œuvre de solution dégradées).
. Les équipes savent mettre en œuvre à tout moment le Plan de Continuité d'Activité et le Plan de reprise d'activité qui leur ont été définis.
. Les équipes sont sensibilisées aux besoins d'éradiquer la conservation de documents de santé intégrant des données médicales à caractère personnel directement sur le poste de travail.
Sécurisation de l’identification des professionnels dans le SI
Ce nouveau critère renforce la sécurisation des identifications dans le SIH.
• Critère 3.6-06 : L’identification des utilisateurs et des patients dans le système d’information est sécurisée.
Pour prévenir des menaces et risque d'atteinte aux informations conservées sous forme électronique au sein des systèmes d'information des établissements de santé, il est essentiel de définir les règles d'accès aux ressources et données de santé à caractère personnel au sens du RGPD pour l'ensemble des utilisateurs. Les ressources concourent à des activités de prévention, de diagnostic, de soins, de prise en charge, de suivi, ou d'interventions nécessaires à la coordination de plusieurs de ces activités et qu'ils traitent des données. Les règles d'accès sont déclinées dans le dispositif d'habilitation au système d'information quel que soit l'utilisateur (professionnels, intérimaires, étudiants, stagiaires, patients…).
L'accès au système d'information doit se faire par une authentification à double facteur destiné à s'assurer que les utilisateurs disposent bien des droits d'accès en leur nom propre.
Le mécanisme d'authentification à double facteur se déroule en deux étapes : une première posant sur la saisie d'un identifiant et mot de passe personnel, la seconde requérant un autre code d’identification personnel adressée par SMS, mail ou carte à puce comme les cartes CPS.
Éléments d’évaluation - Audit système
Gouvernance
. Les règles d'habilitation au système d'information de santé sont définis.
. L’établissement a mis en œuvre une gestion des arrivées/ départ pour l'octroi des habilitation au SI (notamment pour les intérimaires, étudiants, stagiaires,...).
. L'établissement octroie un poste de l'établissement (poste professionnel) au personnel en mobilité (astreintes ou travail à distance) ou un dispositif d'ouverture de cession à distance.
. Les identités et accès aux données de santé sont gérés par un système d'authentification à deux facteurs.
Professionnel
. Le personnel en interne utilise un identifiant personnel et un mot de passe personnel et unique pour l'accès au système d'information.