Association Belge des Syndicats Médicaux

M.B. 15/12/2016 - Règlement du 5 décembre 2016 relatif à la prescription électronique intra hospitalière

5 DECEMBRE 2016. - Règlement relatif à la prescription électronique intra hospitalière

Le Comité de l'assurance soins de santé de l'Institut national d'assurance maladie-invalidité,
Vu la loi relative à l'assurance obligatoire soins de santé et indemnités, coordonnée le 14 juillet 1994, les article 9bis et 22, 11° ;
Vu l'avis de la Commission Nationale dento-mutualiste du 23 novembre 2016;
Vu l'avis de la Commission Nationale médico-mutualiste du 28 novembre 2016;
Après en avoir délibéré au cours de sa séance du 5 décembre 2016,
Arrête :
Article 1er. Les prescriptions électroniques rédigées conformément au protocole en annexe peuvent remplacer leur équivalent papier.
Art. 2. Le présent règlement entre en vigueur le jour de sa publication au Moniteur belge
Bruxelles, le 5 décembre 2016.
Le Fonctionnaire dirigéant,
H. De Ridder.
Le Président,
J. Verstraeten.

Annexe au règlement du 5 décembre 2016 relatif à la prescription électronique intra hospitalière
Protocole conclu entre les organismes assureurs et les commissions d'accord ou de conventions relatif à la prescription hospitalière électronique
Vu les articles 9bis et 22, 11°, de la loi coordonnée le 14 juillet 1994 relative à l'assurance obligatoire soins de santé et indemnités;
Vu l'article 36/1 de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions;
Article 1er. Le présent protocole s'applique aux prescriptions hospitalières prévues par ou en vertu de la loi coordonnée le 10 mai 2015 relative à l'exercice des professions de santé et/ou par ou en vertu de la loi coordonnée le 14 juillet 1994 relative à l'assurance obligatoire soins de santé et indemnités.
Par prescription hospitalière, on entend une prescription d'un dispensateur de soins compétent attaché à l'hôpital relative à un patient de l'hôpital (ambulant ou hospitalisé) et exécutée dans l'un des services de l'hôpital.
Article 2. Toute prescription électronique hospitalière doit respecter les conditions relatives à la force probante fixées par l'article 36/1 de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions.
Elle doit également comporter toutes les mentions exigées légalement ou réglementairement pour la prescription papier qu'elle remplace.
Article 3. L'hôpital fixe les procédures utiles pour garantir l'identification et l'authentification correcte du prescripteur. A cet égard, une des procédures suivantes est mise en oeuvre :
- Authentification au moyen d'un nom d'utilisateur et d'un mot de passe.
Le nom d'utilisateur et le mot de passe sont strictement personnels et non transmissibles. Le mot de passe peut être utilisé une seule fois ou plusieurs fois. Si le mot de passe peut être utilisé plusieurs fois, le prescripteur est tenu de modifier le mot de passe le plus rapidement possible ou du moins au moment de la première utilisation.
Si le mot de passe peut être utilisé plusieurs fois, le prescripteur doit ensuite régulièrement modifier ce mot de passe. Des procédures de modification régulière des mots de passe doivent être mises en oeuvre et rendues obligatoires par l'hôpital.
Un mot de passe sécurisé est idéalement composé de 15 signes et comporte au moins 8 signes. Un mot de passe peut soit être utilisé une fois sur base d'un « challenge » (mot de passe dynamique) chiffré pour chaque utilisation, soit être utilisé plusieurs fois (mot de passe statique).
Un mot de passe qui peut être utilisé plusieurs fois contient des caractères et des symboles alphanumériques placés dans un ordre difficile à déceler. Chaque prescripteur doit veiller à ce que le mot de passe choisi réponde à ces conditions. La responsabilité de chaque prescripteur est engagée lorsqu'un mot de passe est décelé et/ou utilisé de manière illicite.
Il appartient à chaque prescripteur de faire un usage judicieux de son nom d'utilisateur et mot de passe et d'assurer le secret en ce domaine. Chaque prescripteur assume la responsabilité de tout usage approprié ou non de son nom d'utilisateur et mot de passe, en ce compris l'usage par des tiers.
Lorsqu'un utilisateur est au courant de la perte de son nom d'utilisateur et/ou mot de passe ou d'une quelconque utilisation inappropriée de son nom d'utilisateur et/ou mot de passe par des tiers ou lorsqu'il soupçonne une telle perte ou utilisation inappropriée il doit prendre immédiatement toutes les mesures nécessaires et en informer le conseiller en sécurité de l'information de l'hôpital.
Dans les plus brefs délais de la réception de cette communication et dans les limites du raisonnable, tout sera mis en oeuvre pour éviter tout abus.
Chaque prescripteur continue à assumer la responsabilité de chaque usage légitime de son nom d'utilisateur et/ou de son mot de passe et de chaque usage illégitime suite à la négligence de son nom d'utilisateur et/ou de mot de passe avant l'inactivation du nom d'utilisateur ou du mot de passe.
- Authentification au moyen d'une procédure d'authentification plus forte que le nom d'utilisateur/mot de passe, plus précisément au moyen de certificat d'authentification sur la carte d'identité électronique ou d'un autre certificat répondant aux dispositions de la loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification.
- Authentification par badge (ou moyen similaire) d'identification mis à disposition du prescripteur. Ce badge (ou moyen similaire) est strictement personnel et non transmissible.
Chaque prescripteur assume la responsabilité de tout usage approprié ou non de son badge (ou moyen similaire), en ce compris l'usage par des tiers.
Lorsqu'un utilisateur est au courant de la perte de son badge (ou moyen similaire) ou d'une quelconque utilisation inappropriée de celui-ci par des tiers ou lorsqu'il soupçonne une telle perte ou utilisation inappropriée il doit prendre immédiatement toutes les mesures nécessaires et en informer le conseiller en sécurité de l'information de l'hôpital.
Dans les plus brefs délais de la réception de cette communication et dans les limites du raisonnable, tout sera mis en oeuvre pour éviter tout abus.
Chaque prescripteur continue à assumer la responsabilité de chaque usage légitime de son badge (ou moyen similaire) et de chaque usage illégitime de son badge (ou moyen similaire) suite à la négligence avant l'inactivation de celui-ci.
Article 4. La prescription électronique est conservée de manière à ce qu'il ne soit plus possible de la modifier ou de la supprimer de manière inaperçue. La procédure de hachage, horodatage, signature électronique et enregistrement du résultat, décrite ci-après est appliquée à cet effet.
Une procédure de hachage est appliquée . L'algorithme est au moins un SHA 256.
Le résultat du hachage (hash-code) est calculé sur base du contenu spécifique du fichier ayant fait l'objet du hachage. En d'autres termes, sur base d'un hachage déterminé il n'y a qu'un seul hash-code qui correspond à un contenu déterminé. Si le contenu d'un fichier est modifié, le hash-code sera différent lors d'un nouveau hachage avec le même algorithme de hachage. Le hash-code original permet également de déterminer si le fichier a été modifié par la suite.
L'hôpital prévoit un système de logging de sécurité permettant de réaliser un logging de toute création, modification ou destruction de la prescription électronique et du hash-code y afférents ayant fait l'objet d'un horodatage
Pour l'horodatage des prescriptions électroniques, une banque de données spécifique est créée au sein de l'hôpital.
Après avoir soumis le hash-code à une procédure d'horodatage décrite dans le présent protocole, chaque prescription électronique et le hash-code horodaté y afférent sont enregistrés dans cette banque de données sous forme de fichiers spécifiques.
Les prescriptions électroniques sont enregistrées dans une banque de données spécifique dans un format KMEHR version 1bis d'un niveau 1 ou 4. Au minimum, les données d'identification relatives au prescripteur et au patient sont décrites de manière structurée.
Article 5. Les hash-codes calculés à partir de la prescription électronique sont horodatés par la plate-forme eHealth.
Pour éviter une surcharge du service d'horodatage, un horodatage de chaque hash-code de chaque prescription électronique individuelle n'est pas prévu. Cependant, plusieurs hash-codes sont regroupés (dans un Time Stamp Bag ou TSBag) et ensuite une seule demande d'horodatage est introduite.
Toutes les cinq minutes, un programme installé au sein de l'hôpital sélectionnera et regroupera dans un TSBag les nouvelles prescriptions électroniques du dépôt provisoire.
L'hôpital transmet le TSBag au service d'horodatage de la plate-forme eHealth et demande un horodatage au niveau du TSBag.
La plate-forme attribue ensuite une estampille temporelle et une signature électronique au TSBag.
Elle transmet alors à l'hôpital le TSBag pourvu d'une estampille temporelle et d'une signature électronique. Le logiciel de l'hôpital enregistre les hash-codes concernés des prescriptions électroniques, le TSBag, l'estampille temporelle et la signature dans les archives de l'hôpital.
L'hôpital est tenu de permettre la lecture des prescriptions électroniques pendant la durée obligatoire de conservation applicable aux prescriptions papier qu'elles remplacent.
Le service d'horodatage de la plate-forme archive également dans une banque de données créée à cet effet tous les TSBag reçus et les estampilles temporelles délivrées afin de soutenir les parties concernées en cas de litige.
Article 6. Contrôle et surveillance
Le contrôle et la surveillance de l'application des dispositions du présent protocole s'effectuent :
1) au niveau de l'hôpital
La surveillance au niveau de l'hôpital des conditions visées à l'article 3 doit être assurée par le conseiller en sécurité de l'information.
Les hôpitaux doivent communiquer à la section santé du Comité sectoriel de la sécurité sociale et de la santé le nom, le prénom, la qualité, le nom de l'employeur et le lieu d'occupation de leur conseiller en sécurité de l'information. Toute modification intervenant dans ces données doit également être communiquée dans les 14 jours civils.
2) au niveau de l'INAMI
La surveillance du respect des dispositions du présent article est assurée respectivement par le Service d'évaluation et de contrôle médicaux et le Service du contrôle administratif, chacun au niveau de ses compétences. A cet effet, le conseiller en sécurité de l'information de l'hôpital tient à jour un dossier dans lequel sont détaillés l'ensemble des procédures, le matériel et les programmes utilisés, en particulier afin de permettre aux instances de contrôle d'avoir immédiatement accès aux prescriptions électroniques et aux TSBags et estampilles temporelles y associés. Ce dossier doit être régulièrement actualisé. II doit être tenu à la disposition des services de contrôle de l'INAMI.
Sans préjudice de leurs propres compétences spécifiques, les services de contrôle doivent communiquer les éventuelles lacunes ou irrégularités à la Commission de conventions entre les établissements hospitaliers et les organismes assureurs.
Article 7. Le protocole conclu le 3 septembre 2009 et le 1er décembre 2009 entre les organisations représentatives des établissements hospitaliers et les organismes assureurs, portant les conditions et les modalités selon lesquelles un document électronique peut être associé, de manière précise, à une date de référence et une heure de référence et ne peut plus être modifié de manière imperceptible est remplacé par le présent protocole .
Vu pour être annexé au règlement du 5 décembre 2016.
Le Fonctionnaire dirigéant,
H. De Ridder.
Le Président,
J. Verstraeten.