Amis Biologistes, bonjour.
Aujourd'hui, vous devriez toutes et tous avoir une copie de la Norme ISO 15189 sur votre bureau encombré et peut-être même sur votre table de chevet. Si vous êtes arrivés jusqu'à la page 32 (édition 2007), vous avez remarqué que l'Annexe B qui concerne le Système d'Information du Laboratoire (SIL) est devenue informative et non plus normative. Certains professionnels s'en sont émus et j'ai le plaisir de reproduire ci-dessous la lettre ouverte que l'un d'entre eux envoie à ce sujet à la section santé humaine du COFRAC . Vos réactions sont très attendues.
Bonne lecture.
GdM(qui se bat avec son fournisseur de SIL)
"Madame, Monsieur,
J’ai pris connaissance, via le site du COFRAC, du projet de manuel d’accréditation des laboratoires de biologie médicale. Je souhaiterais réagir à travers cette lettre ouverte sur la portée de l’exigence 4.2.4.r relative aux Systèmes d’Information de Laboratoires présentée dans ce document.
Au sein de ce document de travail, l’annexe B de la norme ISO15189 est en effet présentée comme « informative » et contenant des recommandations « que le LBM peut choisir d’appliquer ». Cette position, aux antipodes des ambitions originelles de la norme,qui présente au contraire l’annexe B comme « normative », me semble regrettable pour plusieurs raisons que je détaillerai ci-dessous après une brève remise en contexte.
Auditeur informatique expérimenté, mon premier contact avec la norme ISO15189 remonte à l’automne dernier lors d’une mission d’audit de sécurité que j’ai eu le plaisir de conduire sur les Systèmes Informatiques de Laboratoire d’un grand établissement hospitalier du Sud-Ouest de la France. A cette occasion, j’ai pu constater l’imbrication étroite (et qui n’ira qu’en grandissant dans les années à venir) entre le métier de la biologie médicale et l’informatique. J’ai également constaté avec une certaine satisfaction que les problématiques de contrôle interne informatique contenues dans l’annexe B constituaient un premier pas pour assurer la sécurité de l’information biologique et médicale sous quatre critères :
* Disponibilité : il s'agit, via les recommandations relatives à l’environnement(annexe B2), la récupération et le stockage des données (B6), la maintenance du système (B8), d’assurer que les informations biologiques et médicales relatives au patient seront disponibles en tout temps, y compris aux moments critiques de la vie, afin d'améliorer la qualité des soins.
*Intégrité : il s’agit, via les recommandations relatives à la sécurité du système(annexe B4), d’assurer la sécurité du patient en faisant en sorte que les informations biologiques et médicales le concernant ne seront pas susceptibles d’être altérées de façon accidentelle ou frauduleuse.
*Confidentialité : il s'agit, là encore via les recommandations relatives à la sécurité du système (annexe B4), d'assurer que la transmission des informations biologiques et médicales relatives au patient respectera son droit à la vie privée et à la dignité.
*Traçabilité : il s’agit, via les recommandations relatives à la saisie des données et enregistrements (annexe B5), d’assurer la sécurité des patients en pouvant établir formellement les responsabilités de chaque utilisateur dans la création / modification / suppression des informations biologiques et médicales.
A travers cette analyse de risques sommaire, on s’aperçoit donc que les risques associés à un Système d’Information de Santé non-maîtrisé et non-sécurisé peuvent dans certains cas mettre en danger la vie du patient : l’affaire des sur-irradiés d’Epinal nous en a malheureusement montré la preuve.
L’on m’objectera que l’annexe B est lourde (4 pages sur 40 consacrées à l’informatique contre une-demi dans le GBEA), que sa mise en oeuvre, ajoutée à celle du SMQ, est contraignante et dispendieuse, et que les contrôles mis en oeuvre seront de surcroît difficilement évaluables par des non-spécialistes en audit informatique.
Certainement, une partie de ces arguments est recevable : certaines recommandations sont ainsi sans doute exagérément détaillées (cf annexe B5 : saisie des données et enregistrements). D’autres dispositions, qui relèvent pourtant du bon sens le plus élémentaire, n’en apparaissent dès lors que plus étonnamment absentes (ex : aucune recommandation sur l’équipement antiviral des postes de travail afin de protéger le laboratoire d’attaques malveillantes).
Pour autant, peut-on, à l’heure où la cybercriminalité explose à travers le monde, écarter d’un revers de manche un ensemble de bonnes pratiques sous le seul prétexte qu’elles sont trop complexes à mettre en oeuvre, en particulier dans les petites structures ? Le nivellement par le bas est-il une stratégie acceptable dès lors que la santé publique est directement en jeu ?
Malgré leurs défauts et leurs insuffisances, nous serons tous d’accord pour reconnaître que les recommandations de l’annexe B nous interpellent sur des questions de fond, voire stratégiques pour les directeurs de laboratoire : comment assurer la continuité de mon activité en cas de sinistre ? Comment prévenir les risques de fraude ? Comment éviter de commettre des erreurs de diagnostic ?...
Pour toutes ces raisons, l’annexe B doit retrouver au sein du manuel d’accréditation COFRAC le statut normatif que lui confère originellement l’ISO15189. Montrons-nous donc à la hauteur des enjeux de la réforme de la biologie médicale française en fixant des objectifs ambitieux pour 2016 : pour cela, penchons-nous dès aujourd’hui sur chacune des recommandations contenues dans l’annexe et procédons à une analyse de risques approfondie sur la base des grandes lignes exposées ci-dessus, afin de n’extraire de ce document que la substantifique moelle. Ce travail, mené dans le cadred’une commission ad-hoc, associant des membres des différents collèges, permettra de :
* mieux cerner les risques associés à une non-conformité,* d’apprécier pour chaque risque leur niveau d’acceptabilité,* de déterminer pour chaque risque la meilleure stratégie à adopter dans le cadre de l’accréditation des laboratoires (recommandation normative ou informative).
L’intérêt du patient, « but unique » voulu par le rapport Ballereau, est à ce prix !
Rémi BOURDOT
ConsultantDiplômé de l’Institut d’Etudes Politiques de ParisCertifié Information Systems Auditor (CISA)par l’ISACACertifié Information Systems Security Professional (CISSP) par l’(ISC)²Membre de l’Association Française des Auditeurs Informatiques (AFAI)Contact : [email protected] "
LES COMMENTAIRES (1)
posté le 03 octobre à 11:49
Je suis futur Biologiste dans 8 mois qui cherche une performance en assurance qualité des analyses biomedicales. je compte sur vous et felicitation vous etes les meilleurs