Академический Документы
Профессиональный Документы
Культура Документы
I
FO
GUIDE TECHNIQUE D'ACCREDITATION I T
POUR LEVALUATION DES SYSTEMES
F A
INFORMATIQUES EN BIOLOGIE MEDICALE
U E
SH GTA 02 I Q
N
O
Rvision 00
R
C T
L E
E
N
I O
R S
V E
LA
SOMMAIRE
1 OBJET DU DOCUMENT ................................................................................................. 5
2 TERMINOLOGIE ET REFERENCES .............................................................................. 5
2.1 Dfinitions ................................................................................................................. 5
2.2 Abrviations .............................................................................................................. 8
3 DOMAINE DAPPLICATION ......................................................................................... 11
4 MODALITES DAPPLICATION ..................................................................................... 12
5 SYNTHESE DES MODIFICATIONS.............................................................................. 12
6 RECENSEMENT ET TYPOLOGIE DES ARCHITECTURES DE SYSTEMES............... 12
6.1 Introduction ............................................................................................................. 12
6.2 Architecture des serveurs ...................................................................................... 13
6.2.1 Les serveurs non critiques..................................................................................13
I
FO
6.2.2 Les serveurs critiques ........................................................................................13
6.2.3 Rappel des recommandations de la norme NF EN ISO 15189 sur larchitecture
serveur ..........................................................................................................................13
6.2.3.1
I T
Scurit des locaux .................................................................................. 14
F
6.2.3.1.2 Locaux informatiques des sites distants ................................................14A
6.2.3.1.1 Locaux serveurs ..............................................................................14
I Q
6.2.5 Agrment de l'hbergeur des donnes ...............................................................16
6.2.5.1
6.2.5.2 N
Rappel du cadre juridique ........................................................................ 16
Les cas soumis la procdure d'agrment .............................................. 17
R O
6.2.5.2.1 Base de donnes confie un prestataire spcialis dans lhbergement
de donnes ............................................................................................................17
C T
6.2.5.2.2 SIL mutualis entre deux LBM ..............................................................17
6.2.5.2.3 MW mutualis entre deux LBM .............................................................17
L E
6.2.5.2.4 Serveur de rsultats mutualis entre deux tablissements ....................18
6.3 Architecture terminaux et rseaux ........................................................................ 18
E
6.3.1 Rappel des recommandations de la norme NF EN ISO 15189 sur les terminaux
N
et rseaux .....................................................................................................................18
I O
6.3.2 Typologie des terminaux ....................................................................................19
6.3.3 Typologie des rseaux locaux du site .................................................................19
6.3.3.1
6.3.3.2
R S
Rseau Physique ..................................................................................... 20
Anti-virus .................................................................................................. 20
6.3.3.3
6.3.3.4
V E Pare-feu ................................................................................................... 20
Gestion des identits utilisateurs .............................................................. 21
LA
6.3.4 Typologie des rseaux intersites ........................................................................21
6.3.5 Recensement et typologie des connexions distance .......................................22
6.3.5.1 Connexion distance par un personnel interne habilit ........................... 22
6.3.5.2 Connexion distance par un fournisseur dun serveur ou logiciel
critique.. ....................................................................................................... 22
6.4 Architecture Applicative Critique........................................................................... 23
6.4.1 Rappel des exigences de la norme NF EN ISO 15189 sur les applications
critiques .........................................................................................................................23
6.4.2 Recensement et typologie des architectures multi-sites .....................................24
6.4.2.1 Architecture Multi SIL, Multi MW change SIL par messagerie ............ 24
6.4.2.2 Architecture Multi-SIL, plateau technique commun ................................... 25
6.4.2.3 Architecture mono SIL, Mono/Multi MW ................................................... 26
6.4.3 Recensement des changes de donnes d'un LBM ...........................................26
6.4.3.1 Phase pr-analytique ............................................................................... 27
6.4.3.1.1 La feuille de prescription .......................................................................28
I T
7.2.2 Catalogue des examens.....................................................................................41
7.2.3 Harmonisation des systmes unitaires ...............................................................41
F A
7.2.4 Gestion de ladresse postale ..............................................................................41
7.3 Matrise informatique de la phase pr-analytique................................................. 42
7.3.1.1
U E
7.3.1 Gestion informatique de lidentit des patients ...................................................42
Identits et mouvements de patients transmis par le SIH ......................... 43
7.3.1.2
7.3.1.3 Donnes patients reues dans les demandes dexamens I Q
Donnes didentit patient lues sur la carte Vitale .................................... 43
N
dmatrialises.......................................................................................................... 43
R O
7.3.2 Fusion des dossiers patients ..............................................................................43
7.3.3 Prescription (papier et/ou connecte) .................................................................44
C T
7.3.4 Cas particulier de lautocration de demande dexamens ...................................45
7.3.5 Saisie de plusieurs demandes dexamens avec des analyses communes pour un
L E
mme prlvement........................................................................................................46
7.4 Matrise informatique de la phase analytique ....................................................... 46
E
7.4.1 Connexions des analyseurs en direct sur le SIL ou via MW ...............................46
7.4.2 Rgles de contrle du processus analytique ......................................................47
N
7.4.3 Contrle(s) de qualit connect(s)......................................................................48
I O
7.5 Matrise informatique de la phase post-analytique............................................... 48
7.5.1.1
R S
7.5.1 Dmatrialisation des donnes ..........................................................................48
Serveurs de rsultats intgrs la chane de production des soins ......... 49
7.5.1.2
V E
Passerelle dchange ............................................................................... 49
7.5.2 Transfert des donnes par Module Fax informatique..........................................50
7.5.3 Signature lectronique et signature lectronique prsum fiable ........................50
LA
7.5.4 Systmes daide la validation biologique (SAVB) ............................................50
7.5.4.1 Catgories de systmes ........................................................................... 50
7.5.4.2 Etudes pralables ladoption ................................................................. 50
7.5.4.3 Paramtrages des rgles d'expertise ....................................................... 51
7.5.4.4 Exploitation du systme ........................................................................... 51
7.5.4.5 Surveillance du systme .......................................................................... 51
7.6 Organigramme informatique .................................................................................. 52
7.7 Matrise de la scurit informatique ...................................................................... 53
7.7.1 Sensibilisation des utilisateurs la scurit informatique ...................................53
7.7.2 Scurit du systme - Droits daccs (hirarchisation des accs, ) .................53
7.7.3 Dlai de verrouillage aprs inactivit ..................................................................53
7.8 Procdures en cas de panne informatique : mode dgrad ................................ 54
F A
8.2.2 Textes ou commentaires cods ..........................................................................61
8.2.3 Vrification des connexions ................................................................................61
U E
8.2.4 Vrification des rgles de gestion des examens .................................................61
8.2.5 Vrification des alarmes transmises par les analyseurs .....................................61
8.2.6.1 I Q
8.2.6 Format de rendu du rsultat ...............................................................................62
Chiffres significatifs .................................................................................. 62
8.2.6.2 N
Rgles darrondissage.............................................................................. 62
R O
8.3 Vrification initiale (ou intgration fonctionnelle) ................................................ 62
8.4 Vrification aprs changement de version (ou non rgression fonctionnelle)... 63
C T
8.5 Vrification continue (dont signalement vigilance) .............................................. 64
8.5.1 Vrification du paramtrage ...............................................................................64
L E
8.5.2 Vrification du paramtrage des rgles ..............................................................64
8.5.3 Vrification des sauvegardes et de larchivage ...................................................64
E
8.5.4 Transmissions des rsultats des examens spcialiss .......................................64
8.5.5 Suivi des droits ...................................................................................................65
N
8.5.6 Cas des logiciels de bureautique ........................................................................65
I O
9 ANNEXES ..................................................................................................................... 66
R S
9.1 Annexe 1 : exemple de convention de preuve ...................................................... 66
9.2 Annexe 2 : exemple de fiche de fonction de responsable informatique du
V E
LBM .......................................................................................................................... 67
9.3 Annexe 3 : Exemple de charte informatique ......................................................... 68
LA
9.4 Annexe 4 : exemples de formulaires de paramtrage .......................................... 71
9.5 Annexe 5 : exemple de vrification de connexions par visualisation des
fichiers transmis par lanalyseur ........................................................................... 79
9.6 Annexe 6 : exemple dun test des rgles dun MW ............................................... 81
9.7 Annexe 7 : exemple de vrification de transmission des codes alarmes des
analyseurs ............................................................................................................... 82
9.8 Annexe 8 : exemple de test de cohrence des donnes transmises .................. 83
9.9 Annexe 9 : exemple de vrification de non rgression fonctionnelle ................. 84
9.10 Annexe 10 : exemple denregistrement des traabilits des logiciels ................ 85
9.11 Annexe 11 : exemple de formulaire de vrification des transferts de donnes. 85
9.12 Annexe 12 : Analyse de risques applique aux systmes informatiques des
LBM .......................................................................................................................... 86
10 BIBLIOGRAPHIE .......................................................................................................... 92
1 OBJET DU DOCUMENT
La norme NF EN ISO 15189 dfinit les exigences particulires concernant la qualit et la
comptence, pour les Laboratoires de Biologie Mdicale. Quant la norme NF EN ISO
22870, elle dfinit les exigences concernant la qualit et la comptence pour les examens de
biologie mdicale dlocaliss (EBMD).
Dans le prsent guide les Laboratoires de Biologie Mdicale et toutes autres structures
accrdites ou candidates laccrditation selon ces rfrentiels sont appeles LBM .
Les recommandations prsentes dans ce guide, que le LBM est libre dappliquer, sont I
FO
celles reconnues par le Cofrac comme tant appropries pour rpondre aux prescriptions et
exigences des normes NF EN ISO 15189 et NF EN ISO 22870, ainsi qu'au document Cofrac
I T
SH REF 02 correspondant. Toute autre dmarche argumente et documente est cependant
U E
En effet, le phnomne dinformatisation et de dmatrialisation, favoris par les volutions
technologiques, conduit une volution profonde des organisations et des modes de
I Q
production. Les LBM sont, dans ce cadre, conduits mettre en uvre des mthodes et des
N
outils nouveaux. Cette rvolution numrique concerne bien videmment le compte rendu
dexamens de biologie mdicale mis par le LBM mais galement tout le processus du
R O
traitement de linformation mis en uvre au sein du LBM. Lenjeu pour les LBM est donc de
savoir quelles politiques et quelles pratiques mettre en uvre en regard de ce mouvement
C T
dinformatisation. Lobjectif est toujours de satisfaire aux exigences du rfrentiel en tirant
partie de linformatisation et de la dmatrialisation pour augmenter le niveau de
performance de lorganisation.
L E
E
La matrise des moyens informatiques (matriels et logiciels) dans les LBM est
N
considrer au mme titre que tous les autres quipements danalyses en transposant leur
O
utilisation les exigences du rfrentiel.
I
2 S
TERMINOLOGIE
R ET REFERENCES
VE
Pour les besoins du prsent document, les termes et dfinitions ci-aprs s'appliquent. Ces
dfinitions sont issues notamment de normes internationales se rapportant l'accrditation
A Dfinitions
ou de documents du Cofrac.
L2.1
Aliquotage : action de rpartir en diffrentes fractions, ou parties aliquotes, un ou des
.
I T
Archivage des comptes rendus dans leur format de diffusion : le compte rendu diffus
U E
Auditabilit : aptitude fournir une autorit comptente la preuve que la conception et le
fonctionnement du systme et de ses contrles internes sont conformes aux exigences.
I Q
Automate : dispositif ralisant une ou plusieurs oprations de faon automatique.
N
En biologie, un automate ralise des oprations sur un spcimen. Ce peut tre un appareil
R O
robotique ralisant des oprations pr ou post analytiques, ou un analyseur (voir ce terme).
Biothque : dispositif de conservation de spcimens biologiques qui peuvent tre de
C T
diverses natures : liquides, tissus, cellules, ADN, Une biothque de conservation de
spcimens de srums sanguins sappelle une srothque.
L E
Cluster : Architecture informatique regroupant en rseau plusieurs ordinateurs ("computer")
E
indpendants, formant des nuds ("node"), afin de permettre une gestion globale et de
dpasser les limitations d'un ordinateur pour :
N
- augmenter la disponibilit ;
I O
- faciliter la monte en charge ;
S
- permettre une rpartition de la charge, chacun des nuds restant capable de
fonctionner indpendamment des autres (par exemple en cas de dfaillance dun
nud). R
V E
Demande d'examens : objet informatique traduisant dans le SIL une prescription d'examens
de biologie mdicale. Le terme de "demande d'examens" est choisi de prfrence celui de
LA
"dossier" jug trop ambigu. L'excution d'une demande d'examens produit un compte rendu
d'examens qui rassemble, commente et interprte l'ensemble des rsultats obtenus pour
cette demande.
Domaine didentification : structure possdant un systme informatique attribuant un
numro unique didentification dun patient, ce domaine peut-tre un tablissement de sant,
un LBM, la caisse primaire dassurance maladie,
Dossier administratif d'tablissement : ensemble des donnes se rapportant un sjour
ou une venue en consultation externe d'un patient dans un tablissement de soins, et
identifi par un numro unique l'chelle de l'tablissement : le NDA ou lIEP (voir la
dfinition de ces abrviations).
Dossier patient : ensemble des donnes se rapportant un mme patient, enregistres
dans un systme informatique (par exemple dans un SIH ou un SIL).
Examen (Cf. article L. 6211-1 et L.6211-2 du CSP) : un examen de biologie mdicale est un
acte mdical qui concourt la prvention, au dpistage, au diagnostic ou l'valuation du
risque de survenue d'tats pathologiques, la dcision et la prise en charge
thrapeutiques, la dtermination ou au suivi de l'tat physiologique ou physiopathologique
de l'tre humain.
Note 1 : un examen de biologie mdicale comprend l'ensemble des phases pr-analytiques,
analytiques et post-analytiques au sens des normes NF EN ISO 15189 et NF EN ISO 22870.
Note 2 : La phase analytique dcompose lexamen en une ou plusieurs analyses (voir ce
terme).
Identifiant de patient et domaine didentification : un identifiant de patient est associ
un domaine didentification : L'ASIP Sant pour l'INS-c, l'tablissement qui a attribu cet
identifiant pour un IPP ou un identifiant de dossier administratif d'tablissement, le LBM pour
l'identifiant attribu au patient par le SIL. L'identifiant est utilisable par les systmes associ
son domaine didentification. I
FO
Intgration fonctionnelle : installation dune nouvelle fonctionnalit locale un systme ou
en interaction avec d'autres systmes.
Jeu test : ensemble dexemples de donnes entrant dans la procdure de I T
interaction avec d'autres systmes. F A
qualification/vrification informatique d'une fonctionnalit locale un systme ou en
C T
Ce marquage est rglementaire. Il consiste en une auto-certification de conformit dun
dispositif mdical de diagnostic in vitro (DM DIV) aux exigences essentielles dfinies par la
L E
directive europenne 98/79 CE. Pour les DM DIV de lannexe II de la directive une
vrification du marquage par un organisme notifi est ncessaire.
E
Non rgression fonctionnelle : vrification de la prservation d'une fonctionnalit locale
N
un systme ou en interaction avec d'autres systmes, suite une mise jour du logiciel de
l'un des systmes.
I O
R S
Passerelle dchange : systme intermdiaire dchange de donnes entre le SIL et
lenvironnement extrieur. Une passerelle peut permettre dmettre ou de recevoir des
V E
demandes dexamens, des rsultats dexamens, des comptes rendus. Elle peut aussi servir
recevoir les donnes didentits et mouvements des patients des tablissements. Ce
LA
systme est dans le primtre et sous la responsabilit du LBM ou de l'tablissement qui le
contient. Il peut accomplir des conversions de format avant transmission ou en rception. Il
peut disposer de diffrents moyens dacheminement (messagerie scurise de sant,
transfert de fichiers, transactions IHE ).
Prlvement : action de recueil d'un spcimen (ou chantillon biologique) par un prleveur
Prleveur : rle fonctionnel jou par un agent de sant (IDE, mdecin, technicien, biologiste
), qui prlve des spcimens.
Recette dintgration : document validant la rception dune intgration fonctionnelle ou
dune non-rgression fonctionnelle. A noter : Le marquage CE DM DIV intgre cette notion.
Repasse (contrle, repassage) : rexcution dune analyse sur un spcimen, dclenche
pour contrle du rsultat produit par la (ou les) excution(s) prcdente(s) de cette mme
analyse sur ce mme spcimen. Le dclenchement peut tre volontaire ou automatique
suivant des critres prdfinis. Les anglo-saxons parlent de re-run ou new run .
Serveur de rsultats : systme concentrant des rsultats et/ou des comptes rendus
d'examens sous forme lectronique, et offrant aux destinataires de ces rsultats et de ces
comptes rendus des interfaces de diffusion et/ou de consultation. Ce systme peut tre dans
le primtre d'un LBM ou d'un tablissement, ou bien externe et aliment par plusieurs LBM.
Dans ce dernier cas, il s'agit d'un SISP soumis l'obligation d'agrment d'hbergeur de
donnes de sant.
Site : unit gographique et fonctionnelle du LBM.
Note : dans la norme NF EN ISO 15189, le terme site comprend tous les sites dont le LBM
est responsable, c'est--dire les sites au sens du CSP, ainsi que les lieux de ralisation de
prlvements (par exemple domicile du patient) ou de "biologie dlocalise" au sens de la
norme NF EN ISO 22870.
Spcimen (d'aprs NF EN ISO 15189) : pour viter une confusion avec le terme chantillon
I
(au sens : groupe d'individus extrait d'une population), il est prfr le terme "spcimen" pour
FO
dsigner une ou plusieurs parties issues d'un prlvement biologique (spcimen de sang,
spcimen urinaire, ...). Correspond l'"chantillon biologique" au sens du CSP.
I T
Spcimen primaire versus spcimen secondaire : le spcimen primaire est recueilli sur le
patient. Le spcimen secondaire est un sous-produit du spcimen primaire obtenu par
dcantation, aliquotage, dilution,
F A
Tiers : ce terme sapplique lensemble des partenaires pouvant changer de linformation
sous-traitant U E
avec le LBM. Exemples : mdecin, organisme payeur, tablissement de soins, service, LBM
I Q
Validation (ou validation biologique) : opration de contrle de la vraisemblance et de la
N
cohrence de lensemble des rsultats dune demande dexamens, dans le contexte du
R O
dossier patient, confrontant cet ensemble de rsultats avec les rsultats antrieurs
disponibles et avec les lments cliniques pertinents disponibles (tat clinique du patient,
C T
motif de la demande dexamens, traitements mis en uvre ).
La validation des rsultats de la demande produit ou confirme dans le mme temps
E
linterprtation contextuelle de ces rsultats qui figurera dans le compte rendu dexamens.
L
2.2 Abrviations
E
N
ADSL : Asymmetric Digital Subscriber Line : technique de communication numrique sur
I O
ligne tlphonique, mise en uvre par les fournisseurs d'accs internet. Comme son nom
l'indique, la technologie ADSL fournit un dbit asymtrique (contrairement la technologie
l'autre. R S
SDSL). Le flux de donnes est plus important dans un sens de transmission que dans
V E
AFNOR : Agence Franaise de Normalisation.
LA
ANSM : Agence Nationale de Scurit du Mdicament.
ASIP Sant : Agence des Systmes dInformation Partage de Sant.
CDA : Clinical Document Architecture est le standard de document mdical lectronique
structur produit par HL7.
CE : Communaut Europenne.
CIQ : Contrle Interne de Qualit.
CI-SIS : Le Cadre d'Interoprabilit des Systmes d'Information de Sant est un corpus de
rfrentiels maintenu et publi par l'ASIP Sant pour les changes et le partage de donnes
dmatrialises entre systmes d'information du domaine de la sant. Ce corpus s'appuie
sur des profils IHE et des standards internationaux tels que HL7 CDA ou LOINC.
CPS : Carte lectronique de Professionnel de Sant.
CPx : Famille des cartes professionnelles lectroniques (CPS, ).
U E
IEP : Identification Externe du Patient, systme qui attribue un numro diffrent chaque
I Q
venue du patient l'hpital (hospitalisation), contrairement l'IPP qui reste identique puisque
"attach" une identit.
N
R O
IHE : Integrating the Healthcare Enterprise : organisation internationale produisant des
profils de standards pour les changes de donnes lectroniques entre systmes
d'information du domaine de la sant.
C T
IHE LAW : Laboratory Analytical Workflow. Profil d'intgration des changes de donnes
entre analyseurs et MW ou SIL.
L E
E
IHE LCSD : Laboratory Code Set Distribution. Profil d'intgration des changes de
donnes lis la diffusion du manuel de prlvement sous une forme dmatrialise et
structure.
N
I O
IHE LPOCT : Laboratory Point Of Care Testing. Profil d'intgration des changes de
R S
donnes lis la biologie dlocalise.
IHE LTW : Laboratory Testing Workflow. Profil d'intgration des changes de donnes lis
V E
la prescription connecte.
IHE PAM : Patient Administration Management. Profil de diffusion des donnes
LA
dmographiques des patients d'un tablissement.
IHE PDQ : profil d'interrogation des donnes dmographiques des patients d'un
tablissement.
INS : Identifiant National de Sant d'un patient. Cet identifiant de porte nationale est
disponible pour les bnficiaires de l'assurance maladie. On l'appelle aussi INS-C. Il est
calcul par un systme au moment de la lecture de la carte Vitale, partir des traits d'identit
lus en carte. Il peut ensuite tre conserv dans le systme et communiqu d'un systme
l'autre.
L'INS est une donne personnelle. Ce n'est pas une donne mdicale. C'est un trait
d'identit qui n'a rien de confidentiel, au mme titre que le nom de famille de la personne.
U E
l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il a
cependant volu pour reprsenter une norme pour les systmes d'annuaires, incluant un
C T
permettant la codification des rsultats d'examens, notamment ceux de biologie mdicale,
pour les changes de ces rsultats sous forme dmatrialise, entre systmes d'information.
E
MPLS : MultiProtocol Label Switching est un mcanisme de transport de donnes bas sur
N
la commutation d'tiquettes ou "labels".
I O
MSSant : Systme des messageries scurises de sant instituant un espace de
S
confiance regroupant des domaines de messagerie autoriss, une scurisation du canal
dchange, des utilisateurs certifis et authentifis rfrencs dans un annuaire national
partag. R
V E
MW : Un Middleware est un systme de gestion de plateau technique ou d'un sous-
ensemble de celui-ci, et/ou d'un ensemble d'analyseurs dlocaliss par exemple dans les
LA
units de soins.
NDA : Numro de Dossier Administratif : Identifie de faon univoque le dossier administratif
dun sjour ou dune consultation externe dun patient dans un tablissement. Le NDA est
exploitable dans le contexte de son domaine didentification reprsent par ltablissement.
NF : Norme Franaise. Lorganisme de diffusion de ces normes est lAFNOR.
NIP : Numro dIdentification Permanent attribu un patient lors de sa premire venue
dans un tablissement, par le systme de gestion des patients de cet tablissement. Ce
numro reste valide lors des hospitalisations successives, contrairement l'IEP qui change
chaque hospitalisation. On parle aussi dIPP.
PFS : Plateforme de services dun fournisseur danalyseurs.
L E
d'un rseau local. Il correspond en fait une interconnexion de rseaux locaux via une
technique de tunnel avec cryptage des donnes de bout en bout.
E
XP Z 10-011 : Norme de prsentation des adresses gopostales, publie par lAFNOR.
N
3 DOMAINE DAPPLICATION
I O
R S
Le domaine dapplication du prsent guide concerne le cadre spcifique de la matrise des
moyens informatiques et de dmatrialisation des donnes au sein des LBM.
V E
En particulier, le prsent guide sattache couvrir le champ du processus de traitement et de
transmission informatique depuis la production de la donne jusqu son archivage, ainsi que
LA
la gestion des moyens informatiques mis en uvre.
Ce guide correspond ltat de la rglementation et de la normalisation au jour de sa
publication. Il sagit dune premire version qui prsente un tat des lieux des bonnes
pratiques et tablit certaines recommandations dans le cadre de laccrditation. Toutefois,
sagissant dune premire version certains aspects ne sont pas encore dvelopps. Ce guide
sera galement rgulirement revu en correspondance de lvolution des textes
rglementaires. Ainsi, il na pas t dvelopp dans cette version la signature lectronique et
la signature lectronique prsum fiable.
Ce guide s'adresse :
Aux Laboratoires de Biologie Mdicale (LBM) et autres structures engags dans une
dmarche d'accrditation Cofrac selon les normes NF EN ISO 15189 et NF EN ISO
22870 ; dans ce cas il reprsente des recommandations, toute autre dmarche
argumente et documente tant cependant acceptable ;
Aux membres des instances du Cofrac (Comit de Section, Commission Technique
dAccrditation Sant Humaine) ;
Aux valuateurs du Cofrac, et constitue une base d'harmonisation leur usage ;
Aux fournisseurs, pour comprendre et aider les LBM et autres structures dans leur
dmarche.
4 MODALITES DAPPLICATION I
Le prsent guide technique d'accrditation est applicable compter du 15 juillet 2013.FO
I T
Dans le domaine considr de la biologie mdicale, et au jour de son approbation, ce guide
N
rencontrer dans les LBM, avec leurs dclinaisons matrielles, logicielles, connectiques et
applicatives.
I O
Le chapitre recense et classe aussi les changes de donnes que l'on peut rencontrer entre
R S
applications au sein du LBM et avec les applications extrieures. Ces changes sont
prsents dans le contexte des processus mtiers qu'ils sous-tendent.
V E
Le chapitre met l'accent sur les oprations et les changes informatiss, mais signale aussi
autant que de besoin les modes dgrads et les circuits manuels qui peuvent exister.
LA
Ce recensement est dlimit par le primtre du volet informatique de la norme NF EN ISO
15189. Il se limite aux systmes impliqus dans le cycle de production du LBM qui s'tend
des phases pr-analytiques au rendu des rsultats. En particulier les systmes, composants,
applications, changes de donnes touchant la facturation sont hors champ du prsent
guide.
Larchitecture des systmes d'information peut se dcliner sous trois aspects :
Larchitecture des serveurs qui comprend le SIL, et souvent aussi dautres serveurs
entrant dans la chane de production du LBM ;
L'architecture des terminaux et celle des rseaux, cette dernire mritant une
attention particulire dans les LBM multi-sites ;
Larchitecture applicative et les changes de donnes entre applications.
Les sections suivantes de ce chapitre prsentent successivement ces trois aspects.
I Q
6.2.2 Les serveurs critiques
N
Les SIL ;
R O
Les serveurs critiques d'un LBM sont en gnral les suivants :
Les MW ;
C T
L E
Les analyseurs et leurs systmes auxiliaires
d'interprtation/expertise des rsultats bruts) ;
(console analytique, systme
E
Les systmes d'aide la validation biologique ;
N
Les serveurs de rsultats aliments avec les rsultats d'examens produits par le LBM ;
I O
Les passerelles dchange ;
R S
V E
C'est sur ces serveurs que se focalise l'attention du LBM.
La taille et le type de structure du LBM justifient pour chacun des serveurs critiques une
LA
tude pralable de gestion de risques en cas de coupure informatique de longue dure. Les
moyens mettre en uvre devront tre raisonns et adapts aux contraintes de chacun des
serveurs critiques afin dassurer lefficacit du LBM dans la permanence des soins
(urgences) et dans le service rendu aux patients.
proportionn.
U E
onduleurs de grande capacit et/ou dun groupe lectrogne de taille
I Q
Les serveurs sont stocks dans un endroit conforme aux conditions fixes par le
N
fournisseur. Ces conditions rendent souvent indispensable la mise en place d'une
climatisation redonde.
R O
Laccs physique aux serveurs est impossible aux personnes non autorises.
Un systme dalarme peut tre envisag.
C T
E
6.2.3.1.2 Locaux informatiques des sites distants
L
E
Les routeurs et autres matriels informatiques critiques sont de prfrence situs dans des
locaux protgs, climatiss et permettant un contrle daccs maitris.
N
O
6.2.3.2 Points clefs dans lanalyse de lenvironnement
I
R S
Lobjectif est dassurer une continuit de service et de gagner du temps en cas de panne
bloquante ou de baisse de performances. A ce titre, les solutions de back-up font partie
V E
intgrante des solutions de continuit et de reprise dactivit.
Une analyse de risque (Cf. annexe 12) permet de dterminer les points critiques du
LA
systme informatique et de les scuriser en regard des cots induits de leur
dysfonctionnement (redondance des accs tlcom , routeurs et autres matriels
ventuellement pr-paramtrs).
Les solutions techniques de redondance matriels et logiciels tiennent compte de
contraintes darchitecture du systme informatique (virtualisation, cluster, ...).
Les administrateurs rseaux, rfrents informatiques ou rfrents techniques
(titulaires et supplants) sont rgulirement forms et testent intervalles rguliers,
en rel si possible, en priode de faible activit et dans un environnement matris,
les solutions pralablement dfinies dans le cadre dun plan de continuit dactivit.
o Conduite tenir en cas de panne lectrique de longue dure.
o Conduite tenir en cas de basculement sur groupe lectrogne ou onduleur.
altration ou copie des donnes ).
I T
Hbergement sur un site du LBM dans un endroit accs scuris mais sans
F A
dispositif anti-feu et/ou sans onduleur (secours lectrique) et/ou sans climatisation
redonde. Ce type dhbergement nest pas recommand au vu des risques
U E
auxquels il expose la disponibilit du systme. Cependant, le dispositif anti-feu nest
pas indispensable si, par exemple, le LBM dispose d'un cluster de deux serveurs
I Q
rpartis sur deux sites diffrents dans deux salles scurises diffrentes. Egalement,
le cas dune salle serveur avec une seule climatisation est acceptable si une
N
climatisation mobile de secours peut tre utilise,
R O
Hbergement des serveurs dans la salle machine dun autre LBM non agre comme
C T
hbergeur de donnes de sant. Ce type dhbergement nest pas conforme la
rglementation sur lhbergement de donnes de sant (voir 6.2.5) et de plus
expose le LBM au risque de perte de son outil informatique en cas de cession du
L E
LBM hbergeur (en particulier sur la proprit intellectuelle du paramtrage des
examens).
E
Hbergement sur un site du LBM dans une salle rpondant aux recommandations
N
des fournisseurs, avec accs scuris. Ce type dhbergement est, entre autres,
I O
conforme la norme.
R S
Si l'accs la salle serveur est contrl par un dispositif lectronique, il est important
de vrifier quen cas de coupure lectrique, laccs la salle serveur est toujours
V E
possible.
Hbergement dans deux salles scurises suivant les recommandations des
LA
fournisseurs, rparties entre deux sites du LBM, avec dispositif de rplication temps
rel ou rgulier. Ce type dhbergement est galement conforme la norme,
condition que les deux salles disposent d'un accs scuris. Si l'une au moins des
deux salles n'a pas de contrle d'accs le LBM se retrouve expos des risques de
confidentialit, d'intgrit, de disponibilit.
Hbergement chez un hbergeur agr. Cet autre type dhbergement est conforme.
Le contrat entre le LBM et l'hbergeur prcise les engagements de ce dernier pour
assurer la scurit, en particulier concernant la disponibilit et la confidentialit, ainsi
que les modalits de restitution des donnes au LBM en fin de contrat.
Larticle L 1111-8 du code de la sant publique dispose que les professionnels de sant ou
les tablissements de sant ou la personne concerne peuvent dposer des donnes de
I
sant caractre personnel, recueillies ou produites l'occasion des activits de prvention,
FO
de diagnostic ou de soins, auprs de personnes physiques ou morales agres cet effet.
Cet hbergement de donnes, quel qu'en soit le support, papier ou informatique, ne peut
avoir lieu qu'avec le consentement exprs de la personne concerne .
I T
F A
Les conditions dhbergement de donnes de sant caractre personnel sur support
informatique ont t prcises par le dcret 2006-6 du 4 janvier 2006 (codifi aux articles R
1111-9 R 1111-15-1 du code de la sant publique).
U E
Conformment larticle L 1111-8 du code de la sant publique et au dcret 2006-6 du 4
I Q
janvier 2006 relatif lhbergement de donnes de sant caractre personnel, toute
N
personne physique ou morale hbergeant des donnes de sant caractre personnel
R O
recueillies loccasion dactivits de prvention, de diagnostic ou de soins pour le compte
dun tiers, doit tre agre par dcision du ministre en charge de la sant qui se prononce
6 sus-cit).
C T
aprs avis de la CNIL et dun comit dagrment (organe consultatif cre par le dcret 2006-
L E
Lorsque ltablissement de sant ou le professionnel de sant conserve par ses propres
E
moyens et localement les donnes de sant de ses patients, il nest pas soumis la
ncessit dtre agr.
N
I O
Larticle L 1111-8 du code de la sant publique est dinterprtation large et vise toute
structure de soins et de prise en charge de patients.
R S
Par consquent, lorsque le LBM conserve par ses propres moyens les donnes de sant
V E
des personnes quil prend en charge, il nest pas soumis lagrment.
Lorsquune phase de lexamen de biologie mdicale est confie pour ralisation un autre
LA
LBM, ce dernier devient destinataire des donnes afin de participer lexamen de biologie
mdicale. En cette qualit il est donc tenu de conserver, y compris pour son propre compte
les donnes de sant ainsi transmises. Cette qualit le distingue donc dun hbergeur de
donnes de sant soumis agrment et qui conserverait pour le compte dun tiers des
donnes de sant caractre personnel.
I
prestataire tiers aux LBM participant la ralisation de lexamen de biologie mdicale ;
FO
Le cas d'une location d'espace de stockage numrique externalis dans une
infrastructure technique dhbergement.
I T
A contrario, lexternalisation de lactivit de mise sous pli des comptes rendus en tant que
N
Dans ce cas, le LBM B ne conserve aucune donne de sant localement.
R O
Si le LBM B prend galement en charge des patients pour lesquels aucune phase de
lexamen de biologie mdicale nest sous-traite au LBM A, alors le LBM A joue le rle
C T
dhbergeur pour le compte du LBM B et est agr cet effet.
Un contrat dhbergement de donnes de sant est conclu entre les deux LBM.
L E
E
N
I O
R S
V E
LA Figure 1: SIL mutualis entre deux LBM
ne sont pas
I
pris en commun par les deux LBM, le LBM qui hberge le serveur estQ agr pour
lhbergement de donnes de sant caractre personnel.
N
6.3 Architecture terminaux et rseaux
R O
Larchitecture terminaux et rseaux comprend :
C T
Les terminaux locaux ;
Le rseau local du site ; L E
E
Le rseau inter-sites pour les LBM multi-sites ;
N
Les connexions distance.
I O
Il est important de noter que la possibilit d'extraction de donnes patient dun SIL depuis un
R S
terminal fait de ce terminal un matriel informatique contenant des donnes sensibles et qui
donc ncessite un contrle d'accs.
E
V des recommandations de la norme NF EN ISO 15189 sur les
6.3.1 Rappel
LA
terminaux et rseaux
Les paragraphes de la norme NF EN ISO 15189 qui influent sur les terminaux sont :
5.1.7 et 5.3.11-d sur lautorisation dutilisation des ordinateurs du LBM ;
B4.1 concernant la protection des programmes informatiques ;
B4.3 sur le cloisonnement des applicatifs ;
B5.8 sur lidentification des utilisateurs.
Le LBM pourra sappuyer sur les points de scurit de la norme simplifie 53 de la CNIL qui
demande la traabilit des accs et des traitements sur toutes les donnes nominatives et le
cryptage des changes.
I
systmes d'exploitation varis (Windows, Linux, iOs, Androd, ), surT
o Les ordinateurs : portables ou de bureau, tablettes, smartphones, sous des
U E
o Les terminaux passifs mulant un poste de travail virtualis.
o Les postes de travail virtualiss sur un ordinateur disposant d'un systme
d'exploitation.
I Q
N
Les terminaux passifs bnficient nativement dun haut niveau de scurit puisqu'aucune
C T
Il est trs rare dans un LBM que tous les postes soient des terminaux passifs.
L E
Il est courant que des extractions nominatives soient effectues en dehors du SIL (liste
E
pidmiologique, transmission de courrier ponctuel pour les patients ou prescripteurs,) et
N
stockes sur le poste de travail intelligent.
I O
Il est frquent que les postes intelligents ne soient pas soumis une politique
R S
dauthentification similaire celle du SIL ou des autres applicatifs contenant des donnes
patient. Ceci n'est pas recommand.
V E
Si les locaux o se situe le poste intelligent sont ouverts au public ou accs non contrl, il
est recommand de faire en sorte que les donnes stockes localement soient cryptes,
LA
pour se protger du risque de divulgation dinformation nominative en cas de vol du poste ou
de son disque.
Dans tous les cas, il est recommand de doter le poste intelligent dun contrle d'accs par
authentification personnelle.
I T
qui distribue de manire rgulire les mises jour de signatures anti-virus sur les postes du
rseau et qui offre la possibilit un administrateur de superviser la bonne mise jour des
postes et lhomognit de la politique de scurit.
F A
U E
De nombreux postes sont encore aujourdhui protgs par des anti-virus gratuits. Or, la
plupart des anti-virus gratuits sont trop peu performants pour une utilisation professionnelle
dans le cadre des mtiers de la sant.
I Q
Il existe quelques rares anti-virus gratuits performants mais limitant le nombre de postes (par
N
exemple 15 postes). Au-del de cette limite le logiciel devient payant.
R O
Il est recommand de documenter la procdure de mise jour de lanti-virus et de
L E
Il existe aussi des sites avec des anti-virus professionnels installs localement sur les
E
machines sans supervision. Dans ce cas, la mise niveau de lanti-virus est souvent ralise
N
manuellement par lutilisateur qui dispose dune procdure. Les risques sont davoir des anti-
virus non jour (donc vulnrables) et une dgradation des performances internet au moment
I O
du tlchargement simultan par tous les postes dune nouvelle signature anti-virus.
R S
Le LBM porte une attention particulire aux interactions entre antivirus et logiciels
V E
embarqus, notamment dans les dispositifs marqus CE, contribuant l'laboration des
examens, pour viter que les antivirus ne pnalisent trop fortement ces logiciels.
LA
6.3.3.3 Pare-feu
Le pare-feu permet de rguler les flux rseau comme par exemple dinterdire un
quipement extrieur au rseau local de se connecter au rseau du site, de bloquer des flux
rseau indsirables (vido par exemple).
Un pare-feu peut tre embarqu sur un matriel, inclus avec un routeur rseau, assur par
loprateur ou par un logiciel install sur un serveur. Lorsque le rseau du site comporte une
sortie sur internet (pour les mails par exemple) ; le pare-feu permet de rguler tous les flux
de/vers internet.
Si aucun logiciel nest accessible de lextrieur (pas de serveur de rsultat interne par
exemple), un seul pare-feu est suffisant dans le site.
Sil existe un serveur sur le rseau du site qui est accessible de lextrieur, il est
recommand de mettre ce serveur dans une DMZ dlimite par deux pare-feu, lun sur
Un serveur accessible depuis internet mais hberg chez un hbergeur agr est, de fait,
dans une DMZ.
I T
tout autre dispositif conforme la politique de scurit de la structure juridique
F A
comme un identifiant et mot de passe unique pour lensemble des applications.
L'utilisateur, ainsi affranchi de la contrainte de se souvenir de ses diffrents mots de
passe, peut aussi se permettre d'en choisir de plus compliqus (et donc de plus
U E
robustes). Dans certaines configurations, un utilisateur se connectant sur une prise
rseau du LBM sans tre authentifi naura accs qu internet, dans dautres
configurations, il naura accs rien.
I Q
N
La gestion en groupe de travail (Workgroup) permet chaque terminal connect au
R O
rseau local de communiquer avec les autres terminaux sans identification utilisateur.
Cela laisse le rseau ouvert et toute personne qui se connecte physiquement au
C T
rseau du LBM sera capable de communiquer avec lensemble des postes et des
serveurs du rseau (donc intgr immdiatement dans le domaine de confiance). confia
L E
Cela implique que chaque composant du rseau dispose de sa propre scurit et que
toute faille cre un risque sur la confidentialit et l'intgrit des donnes mdicales
caractre personnel.
E
N
Les deux configurations sont conformes, mais dans le cas dun rseau en Workgroup, il est
conseill de vrifier le niveau de scurit de chaque poste et serveur et lapplication des
I O
recommandations B4.3 et B5.8 ncessite des procdures plus dtailles et complexes.
R S
6.3.4 Typologie des rseaux intersites
inter
V E
Le partage dinformations
nformations dans un LBM multi-sites
multi
(Cf. section 6.4 Architecture Applicative Critique).
Critique
peut seffectuer
tuer de diffrentes manires
LA
Les sites qui ont chacun leurs applications et utilisent la messagerie lectronique MSS ou
Hprim Net pour schanger des donnes nont pas besoin de mettre en place un rseau
ddi entre les deux sites
tes : MSS garantit,
garantit par construction, la confidentialit des changes.
Le protocole Hprim Net assure cette confidentialit par un cryptage des messages.
Point de vigilance :
Dans certains cas dchange de donnes, le protocole Hprim Labo est utilis avec
un transport sans cryptage (exemple fichiers transmis par transfert de fichier non
scuris FTP ou Kermit), ce qui induit un risque sur la confidentialit des donnes
mdicales caractre personnel.
Les systmes dinformation qui partagent un serveur (un MW, un SIL,, ) requirent un
rseau intersites.
I Q
6.3.5 Recensement et typologie des connexions distance
N
Il existe deux cas de connexion distance :
La
R
a connexion en nomade ou en mobilit d'un O
d'un personnel interne habilit ;
La T
a connexion par lun des fournisseurs des serveurs ou applications critiques.
C
criti
E
6.3.5.1 Connexion distance par un personnel interne habilit
L
E
La connexion distance permet un utilisateur de se connecter depuis internet (Wifi public,
Wifi domicile, 3G, )) aux applications du LBM.. La connexion un Wifi interne au LBM nest
pas considre
N
re comme une connexion distance puisque restant sur le rseau local du
LBM.
I O
R S
Toute connexion distance aux systmes internes du LBM seffectue en utilisant un VPN,
puisquelle passe forcment sur Internet. En lanant lapplication VPN lutilisateur cre un
V E
tunnel scuris et crypt sur internet qui est conforme avec le respect de la confidentialit
des donnes nominatives patients. Dans le cas contraire,
contraire, les donnes circulent en clair sur
LA
internet ce qui n'est pas acceptable.
Certains diteurs diffusent des applications de validation distance sur tablette ou sur
Smartphone. L aussi, il est indispensable de vrifier que la tablette ou le Smartphone
ncessite le lancement dun excutable VPN pralable quand ce terminal nest pas
connect au Wifi du LBM.
Le biologiste reste responsable de toute action et de toute modification ralise par un tiers
travers ce type de connexion, en particulier sur la qualification
qualification des modifications.
Dans la bonne pratique, cette connexion est active par un personnel du LBM et permet
lenregistrement de lensemble des oprations effectues par le tl-intervenant pendant la
dure de la connexion. Une autre solution consiste demander aux intervenants de raliser
un rapport dintervention systmatique.
Sont utiliss dans les LBM :
La mise en place dun systme dalerte dans le logiciel install qui permet de
transmettre les alertes critiques sans que le tiers ait se connecter. Il demande
ensuite laccs au personnel du LBM en utilisant lun des dispositifs suivants.
La mise disposition dun VPN permanent pour le fournisseur qui se connecte quand
il y a ncessit. Dans ce cas, une procdure tablit un moyen de garantir la traabilit
des interventions par les tiers. De plus un changement rgulier et a minima trimestriel
de lidentifiant ou du mot de passe est document et trac pour viter quune
personne dmissionnaire de lentreprise tiers puisse se connecter aprs son dpart. I
FO
Les logiciels de prise de main distance. Ces logiciels ncessitent que le LBM ouvre
un logiciel spcifique sur un poste et donne un mot de passe avant la prise de main
I T
effective par le fournisseur. Certains de ces logiciels permettent lenregistrement des
C T
critiques
L E
6.4.1 Rappel des exigences de la norme NF EN ISO 15189 sur les applications
E
Les paragraphes de la norme NF EN ISO 15189 qui concernent les applications critiques
sont :
N
sous-traitants ;I O
Chapitre 4.5.2 et 4.5.3, 5.4.1, 5.8.7 concernant les analyses transmises des LBM
R S
Chapitre 4.13.1 et 4.13.2 sur la conservation et la suppression des enregistrements
V E
qualit et technique ;
Chapitre 5.1.8 sur la diffrenciation des rles entre utilisateurs ;
LA
Chapitre 5.4 sur la phase pr-analytique, incluant feuille de prescription et manuel de
prlvement ;
Chapitre 5.6.1 sur les systmes de contrle interne de la qualit (i.e. concerne la
validation automatique) ;
Chapitre 5.7.1 sur la validation biologique ;
Chapitre 5.8.1 5.8.7 sur la formalisation des rsultats.
Le LBM peut sappuyer sur les points de scurit de la norme simplifie 53 de la CNIL
touchant la communication des rsultats.
Pour la transmission lectronique des rsultats en France, il est recommand de s'appuyer
sur le rfrentiel CI-SIS :
http://www.esante.gouv.fr/services/referentiels/referentiels-d-interoperabilite/cadre-d-
interoperabilite-des-systemes-d-inform
I
FO
I T
F A
U E
I Q
N
R O
C T
Figure 3: Architecture multi SIL, multi MW, changes par messagerie
LA
Vrifier la formalisation des codes examens entre les SIL dans un document partag
et sign par les deux parties ;
Vrifier le processus de modification des lignes de rsultats connectes lors dune
modification de paramtrage ;
Vrifier la formalisation du processus de mise jour associ entre les deux parties ;
Vrifier le processus de mise jour du manuel de prlvement lors dune
modification de paramtrage et sa rediffusion ;
Vrifier que les informations prsentes sur les feuilles de prescription sont conformes
au paragraphe 5.4 de la norme NF EN ISO 15189 et que lensemble de ces
informations sont bien transmises par Hprim ou ressaisies le cas chant.
Dans le cas o ces changes se basent sur des rfrentiels lectroniques comme lutilisation
dun catalogue LCSD pour synchroniser les codes demandes et lutilisation de LOINC pour la
codification des lignes de rsultats, ces vrifications sont simplifies, chaque partie tant
responsable de sa cohrence vis--vis des rfrentiels.
Il existe une autre dclinaison de ce modle qui suppose les mmes contraintes et qui
repose sur une communication entre les middlewares la place dune communication entre
SIL.
I
FO
I T
FA
U E
I Q
N
Dans cette configuration : R O
Figure 4: Architecture Multi SIL, plateau technique commun
C T
Chaque site ralise sa validation dans son instance de SIL ;
L E
Le paramtrage des examens dans les SIL est potentiellement diffrent ;
Le paramtrage de chaque analyse est unique sur un middleware ;
E
Les changes ne reposent pas sur des feuilles de demandes mais uniquement sur
N
les numros de tubes et les codes analyses du ou des MW.
I O
sassurer que :
R S
Pour que les systmes communiquent de manire efficace, il est ncessaire de
E
Toute modification de paramtrage ralise dans le MW est communique tous les
V
sites distants avant sa mise en application avec une date dapplication ;
LA
Un document est tenu jour sur le plateau technique avec lensemble des codes et
du paramtrage du MW comme rfrence pour les sites distants ;
A chaque modification du paramtrage du MW, le site distant effectue des tests de
connexions sur le nouveau paramtrage et assure la traabilit de ces tests ;
Des plages de numros de tubes sont rserves par SIL/site et sont formalises sous
peine de mlanger les tubes et les patients de plusieurs sites.
I
FO
I T
Figure 5: Architecture Mono SIL, Mono/Multi MW FA
Dans cette configuration :
U E
ou depuis le site local ; I Q
La validation est ralise sur le SIL central, indiffremment depuis les sites distants
d
L E
La communication entre les sites est de fait intgre et aucune procdure particulire de
E
communication nest mettre en place.
N
6.4.3 Recensement des changes de donnes d'un LBM
I O
Lgende des diagrammes de cette section :
R S
V E
LA
Figure 6: Lgende des diagrammes de flux
I Q pr-analytiques
Ralisation des
SIL
examens sous traits
N pr-tri
Prparation et tri des
examens sous-
traits Spcimens des
R
examens sous-traits
O spcimens techniquer
C T
Notes : L E
Figure 7: Flux de la phase pr-analytique
E
(1) : Lorganisation prescriptrice peut tre un tablissement de soins quip d'un SIH ou un
N
cabinet mdical quip d'un LGC. Dans le premier cas, le SIH peut transmettre les donnes
I O
dmographiques des patients par voie lectronique (Cf. section 6.4.3.1.2). Le SIH peut aussi
S
transmettre la prescription sous forme lectronique (Cf. section 6.4.3.1.4), dans ce cas
l'acceptation des spcimens par le LBM et les ventuelles modifications du contenu de la
R
prescription sont notifies au SIH galement sous forme lectronique.
V E
(2) : Lenregistrement et le suivi des non-conformits peuvent tre assurs par le SIL ou par
un SIQ externe. Dans ce dernier cas, la dtection dune non-conformit par le SIL est
LA
reporte dans le SIQ, soit manuellement, soit par un flux lectronique (Cf. section 6.4.3.1.3).
(3) : S'il existe une chane pr-analytique robotique pilote par un MW celui-ci traduit le
contenu de la demande d'examens en ordres de prparation des spcimens techniquer.
(4) : Le LBM communique son manuel de prlvement l'organisation prescriptrice, par voie
lectronique ou papier. De mme, en cas de sous-traitance, le LBM sous-traitant
communique son manuel de prlvement au LBM de premire intention (Cf. section
6.4.3.1.3)
(5) : Le colisage des spcimens transmis au LBM sous-traitant est hors champ de ce guide
d'valuation des systmes informatiques.
U E
Lorsque l'organisation prescriptrice est un tablissement de sant, il existe couramment une
liaison informatique du SIH de l'tablissement vers le SIL du LBM, acheminant les donnes
dmographiques des patients. L'envoi de ces donnes dmographiques est dclench par
I Q
les vnements administratifs "entre ou visite du patient", "sortie du patient", "transfert du
N
patient d'un service un autre", "correction d'identit", "fusion d'un doublon". Le SIL reoit
R O
donc ces donnes pour l'ensemble des patients de l'tablissement mais il n'exploite
rellement ces donnes que pour les patients de l'tablissement ayant des examens de
biologie au LBM.
C T
L E
Deux standards existent pour ces flux lectroniques, tous les deux diffuss par l'association
interop'sant. Ce sont par ordre de pertinence dcroissante :
E
Le profil IHE PAM dans sa version franaise, maintenue rgulirement, au rythme
d'une version par an ;
N
I O
Le message ADM de l'ancien format Hprim Sant, fig depuis 2004. Ce format
ancien, encore trs rpandu dans les liaisons entre tablissements de soins et LBM
R S
de ville, ne fournit pas l'INS du patient et ne dcline pas l'identit du patient sous une
forme rglementaire (nom de jeune fille et nom, au lieu de nom de famille et nom
E
d'usage).
V
LA
I
o Type d'vnement dclencheur du message : entre, sortie, mouvement T
doublon.
F A
interne, correction ou enrichissement de donnes administratives, fusion de
I Q
Le manuel de prlvement des chantillons primaires guide la fois :
N
La prescription, en listant les examens de biologie que le LBM est capable de
T
Le prlvement des chantillons primaires en prcisant pour chaque examen de
C
biologie, le ou les chantillons attendus, (nature, volume, type de tube, conditions de
E
prlvement, de conservation, de transport).
L
E
Ce manuel de prlvement peut tre communiqu aux prescripteurs, LBM demandeurs, et
prleveurs sous diverses formes : papier, site web, pdf, messages lectroniques structurs.
N
I O
Dans le cas d'une communication par messages lectroniques structurs, un seul format
R S
standard existe : le profil IHE LCSD maintenu rgulirement et diffus dans sa version
franaise par l'association interop'sant. Ce mode de communication permet en outre de
V E
diffuser les codes informatiques des examens de biologie et de leurs lments, pour une
utilisation ultrieure dans les messages d'changes de demandes et rsultats avec le SIL
(prescription connecte, sous-traitance).
LA
Les messages diffusant le manuel de prlvement sous forme lectronique structure
prcisent la version qu'ils diffusent. Il est recommand que les messages de demandes
d'examens, prescription connecte, envois de rsultats, rappellent un numro de version du
manuel de prlvement sur lequel ils s'appuient.
FA
tradui par une nouvelle version du manuel de
prlvement communiqu aux acteurs (mise jour du site web, nouvel envoi
papier, fichier pdf ou flux de messages lectroniques structurs).
6.4.3.1.4 La
a prescription connecte U E
(Rfrence : NF EN ISO 15189 5.4)
I Q
N
La prescription connecte peut exister entre tablissements de soins et LBM intra-
C T
leur vrification par rapport la prescription lectronique dclenche un flux lectronique
d'acceptation de la prescription retourn vers le prescripteur.
L
Deux standards existent pour les flux deE
de prescription connecte, tous les deux diffuss par
E
l'association interop'sant. Ce sont par ordre de pertinence dcroissante :
Le profil IHE LTW ;
N
L'ancien
O
'ancien format Hprim Sant fig depuis 2004, l'exception d'un seul amnagement
I
consenti pour y insrerr l'INS-c
l'INS du patient.
R S
Les donnes du message de prescription connecte sont celles de la feuille de prescription
E
(voir chapitre 7.3.3).
V
LA
Points de vigilance :
Seul le profil IHE LTW permet de grer convenablement les modifications de la
prescription (examens ajouts ou substitus), ainsi que les refus de spcimen, avec
communication des motifs de refus.
I T
FA
U E
I Q
N
R O
C T
L E
E
N
I O
R S
V E
LA
Figure 11: Flux de la phase analytique
Un analyseur peut tre connect directement au SIL ou bien au travers d'un MW. Dans un
LBM mono site, il nest pas rare que le SIL soit connect directement avec lensemble des
analyseurs. Quelle que soit la configuration
configurat il importe de vrifier la traabilit
traabil des contrles
qualit et la mthode de conservation des rsultats bruts dits par les instruments,
instruments ainsi
que la validit des transferts analyseur SIL.
Lenregistrement et le suivi des non-conformits peuvent tre assurs par le SIL ou par le
SIQ. Dans ce dernier cas, la dtection dune non-conformit par le SIL ou par le MW peut
dclencher un flux vers le SIQ pour enregistrement.
Les CIQ sont traits sur l'analyseur. Le contrle et la vrification des rsultats de CIQ
peuvent tre grs sur l'analyseur, sur le MW, dans le SIL ou tout autre outil ad-hoc.
Lacceptation technique des rsultats peut suivant les cas tre ralise sur l'analyseur, sur le
MW ou sur le SIL.
Le LBM conserve les rsultats bruts (NF EN ISO 15189 4.13.3). Les formats de
transmission par les analyseurs peuvent tre considrs comme des formats valides de
conservation des donnes brutes.
I
FO
Les standards disponibles pour les changes de donnes SIL MW sont, par ordre de
pertinence dcroissante :
Le profil IHE LTW ;
I T
Le standard HL7 2.x utilis hors contexte du profil IHE LTW ;
F A
Les standards ASTM E1394 et E1381figs depuis 1997 et retirs du portefeuille de
standards valides d'ASTM depuis 2002 ;
Le standard H' Sant non conu pour cet usage. U E
I Q
Les standards disponibles pour les changes de donnes avec les analyseurs sont, par
ordre de pertinence dcroissant : N
Le profil IHE LAW ;
R O
C T
Le standard HL7 2.x utilis hors contexte du profil IHE LAW ;
Les standards ASTM E1394 et E1381figs depuis 1997 et retirs du portefeuille de
L E
standards valides d'ASTM depuis 2002 ;
E
Le standard H' Sant non conu pour cet usage.
N
Sur le terrain, les interfaces des analyseurs sont encore assez peu standardises et leur
I O
paramtrage est souvent ferm.
R S
Certains fournisseurs d'analyseurs de biologie mdicale exploitent dans leur primtre une
PFS laquelle leurs analyseurs et/ou leurs MW dploys dans les LBM peuvent se
connecter.
V E
LA
Les donnes qui remontent vers la PFS sont exclusivement des donnes techniques. Par
ailleurs, cette connexion peut aussi tre utilise pour les interventions de tlmaintenance du
fournisseur sur l'analyseur (selon les modes exposs au 6.3.5.2).
Si la PFS reoit des donnes mdicales caractre personnel des LBM, le fournisseur est
un hbergeur agr en contrat avec les LBM utilisant ces analyseurs (comme expos au
6.2.5.2).
InVS EFS
Surveillance Contle rsultats
Destinataire des rsultats : Epidmiologie dimmuno-hmato
I
FO
mdecin en cabinet, service compte rendu et/ou rsultats
de soins en tablissement
LBM
compte rendu
et/ou rsultats
I T
mise en forme du CR
SIH ou LGC
Stockage des rsultats dans
SIL
Passerelle F A
consolidant les examens
locaux et sous-traits
Validation et interprtation
le dossier mdical local dchange
U E
SISP opr par un hbergeur agr : I Q
DMP ou serveur de rsultats N
RO
compte rendu dexamens
Mise en partage des rsultats sous-traits
Patient
Diffusion aux destinataires
dsigns abonns au service
SISP
C T
compte rendu
dexamens
LE
Laboratoire sous-traitant
Professionnel de sant mise en forme du CR
Consultation a posteriori des
E SIL dexamens sous-traits
Validation et interprtation
N
rsultats de biologie dun patient
Stockage ventuel dans le dossier
mdical local
I O
S
ER
Figure 12: Flux de la phase post-analytique
V
Les rsultats et/ou comptes rendus d'examens ne sont transmissibles qu'aprs validation et
LA
interprtation sous la responsabilit d'un biologiste mdical (Cf. 5.8 du SH-REF 02).
U E
o Le compte rendu pdf encapsul dans un document CDA non structur, tel que
spcifi par le CI-SIS ;
I Q
N
o L'ancien format Hprim Mdecin fig depuis 2000 ;
o Le compte rendu pdf sans autre mise en forme.
R O
Le moyen de transport est soit une messagerie scurise de sant, soit un autre
C T
protocole dtermin par le systme informatique destinataire. Par exemple
l'alimentation du DMP se fait par web service.
L E
Ds lors que la diffusion des rsultats d'examens de biologie exploite un format structur
E
(profil IHE LTW, document lectronique CDA structur, message Hprim Sant ou Hprim
Mdecin) il est recommand d'identifier les analyses porteuses de rsultats l'aide de la
N
nomenclature LOINC traduite en franais et publie dans le CI-SIS.
I O
R S
L'envoi lectronique du compte rendu au patient peut se faire via un SISP (DMP ou serveur
de rsultats). Le format et le transport sont dtermins par le SISP.
V E
L'envoi du compte rendu directement au patient par messagerie sans autre protection n'est
pas recommand.
LA
FA
La biologie dlocalise n'a pas, proprement parler, de phase pr-analytique : le
U E
prlvement du patient produit un spcimen biologique exploit tel quel et immdiatement
par la phase analytique ralise par le personnel de l'unit de soins. Ce personnel est form
I Q
au maniement des analyseurs dlocaliss par le LBM qui supervise le processus.
N
Les rsultats obtenus sont utiliss sans dlai par les soignants. Cependant, le LBM qui
C T
La biologie dlocalise fait interagir 4 catgories de systmes :
L E
Les analyseurs dlocaliss dans les units de soins ;
Un ou plusieurs systmes intermdiaires (MW) de pilotage de ces analyseurs ;
E
Le SIL du LBM de supervision qui est destinataire de l'ensemble des rsultats de la
N
biologie dlocalise qu'il supervise ;
I O
Le SIH de l'tablissement, qui est la source de vrit pour l'identification des patients,
S
et pour celle des soignants.
R
V E
LA
Points vrifier :
Fiabilit de l'identification du soignant sur l'analyseur et remonte de cette
identification avec les rsultats dans le SIL ;
Fiabilit de l'identification du patient sur l'analyseur : lecture tiquette code barre ou
saisie manuelle. L'identit du patient est obtenue du SIH et affiche sur l'cran de
l'analyseur pour contrle ;
Remonte de l'ensemble des informations de traabilit avec les rsultats vers le SIL
: Identifiants de l'analyseur, du soignant, du patient, horodatage, alarmes ;
Le contrle de qualit peut se faire sur le systme intermdiaire de pilotage (MW) ou
sur le SIL. Vrifier les actions dclenches en cas de dtection d'anomalie : Alerte au
biologiste, blocage automatique de l'analyseur par le systme intermdiaire,
I
FO
Un seul standard est disponible pour les flux 1, 2, et 3 : le profil IHE LPOCT qui s'appuie sur
le standard POCT1-A, ce dernier exploitant des messages HL7.
I T
Le moyen de transport est choisi par l'tablissement en conformit avec son infrastructure
rseau interne.
F A
L'interface de contrle de l'identification du patient entre le MW et le SIH, lorsqu'elle est
prsente, peut s'appuyer sur :
U E
identits des patients de l'tablissement ; I Q
Le profil IHE PAM (Cf. 6.4.3.1.2) qui sert alors pr-alimenter le MW avec les
N
Le profil IHE PDQ qui permet au MW d'interroger en temps rel le SIH, rception de
O
l'identifiant patient transmis par un analyseur dlocalis.
R
C T
Sur le terrain, les interfaces des analyseurs de biologie dlocalise sont trs rarement
standardises, et leur paramtrage est souvent ferm.
L E
6.5 Cartographie des systmes et des changes
E
Pour matriser son environnement, il est recommand que le LBM sappuie sur une
N
cartographie de ses systmes mettant en vidence les changes de donnes entre eux et
I O
avec les systmes extrieurs.
R S
Chaque systme est repr sur ce schma par son nom et son adresse rseau (suivant les
V E
cas : nom DNS, url, adresse IP, ).
Exemples de cartographie :
LA
I T
SIQ
MW
F A
MW
Bactrio
site 1
U E site 2
I Q
Analyseur Analyseur
Analyseur N
Analyseur Analyseur Analyseur
hmoc.
Site 1
autres
natures
coag.
Site 1 R O hmato
Site 1
bioch
Site 2
hmato
Site 2
Site 1
C T
E
Figure 14: Cartographie des flux d'un LBM de ville deux sites travaillant avec une clinique et un hpital
L
Notes : E
N
Les flux de tlfacturation avec l'assurance maladie peuvent ventuellement tre montrs,
mais ils restent hors primtre de l'valuation.
I O
Les priphriques (terminaux, douchettes, lecteurs Vitale, imprimantes, scanners )
S
peuvent tre montrs ou non.
R
V E
LA
DMP
Analyseur Analyseur
Analyseur N
Analyseur Analyseur Analyseur
hmoc. autres
natures
coag.
R Ohmato bioch hmato
C T
Figure 15: Cartographie des flux d'un LBM intra-tablissement
L E
E
N
I O
R S
V E
LA
7.1 Environnement
7.1.1 Matriels et logiciels
(Rfrence : SH REF 02 4.2
Toutefois, les incidents qui mettent en cause les logiciels dfinis au 18 de larticle
L.5311-11 sont signals sans dlai l'ANSM, par les professionnels de sant qui les utilisent
(dcret n 2011 - 1448). Le SMQ du LBM comporte les dispositions relatives la protection
des systmes d'information et la dclaration des incidents ).
I
FO
Les logiciels isols (non intgrs dans un dispositif mdical) utiliss dans un LBM pour la
gestion des examens de biologie
ologie mdicale et lors de la validation, de linterprtation, de la
communication approprie et de larchivage des rsultats, se rpartissent :
En n logiciels qui sont des dispositifs mdicaux devant tre marqus CE ; I T
En logiciels qui ne sont pas des dispositifs
dispo mdicaux.
F A
leur finalit mdicale (modification
modification et/ou cration dune donne).
E
Les logiciels sont considrs comme des dispositifs mdicaux marqu CE en fonction de
U
donne Dans la directive 98/79/CE,
il sagit le plus souvent dun auto-marquage
I Q
auto marquage CE. Les procdures de racto-vigilance
racto du LBM
sappliquent directement ces dispositifs et une dclaration lANSM est obligatoire en cas
danomalies. Sont exclus par exemple le changement N
ngement dunit, les calculs simples ou les
comparaisons de rsultats, ...
R O
C T
Pour les logiciels non dispositifs mdicaux (les plus nombreux) lordonnance 2010-49
2010
ajouts dans le champ des produits couverts par lANSM. Un dcret spcifique dcrit une
les a
E
vigilance spcifique (identique la racto-vigilance).
racto
L
Art. R. 5232-17. La vigilance comporte :
E
1 Pour les professionnels de sant utilisateurs mentionns larticle L. 5232-4, 5232
signalement lAgence franaise de scurit sanitaire des produits de sant de tout incident
le
N
consistant en une dfaillance ou une altration des caractristiques ou des performances
I O
des produits de sant mentionns la prsente section, ou une inadquation dans
R
sant des personnes .S
ltiquetage ou la notice dutilisation, susceptibles dentraner
dentraner des effets nfastes pour la
V E
Le SMQ du LBM comporte lensemble de ces dispositions.
LA
Point de vigilance :
Les fonctionnalits
alits de facturation des systmes sont hors du champ de d ce guide
cependant la prservation de la confidentialit des donnes patient peut induire
des contraintes sur la circulation des donnes de facturation.
facturation. Ainsi,
Ainsi quand une
facture risque darriver
er dans un environnement non mdical le LBM veillera faire
en sorte quun nom dexamen ne puisse tre reli
reli un nom de patient.
Exemple : demande dexamens de mdecine du travail facture lentreprise
employeuse du patient.
patient
Il est important de bien identifier les tapes du processus de manire faciliter lexpression
des besoins et, avant tout, danticiper sur les points risques, notamment :
Fonctionnalits ;
Performance
erformance (cots, dlais) ;
Ergonomie ;
Marquage CE DM DIV ;
Compatibilit
ompatibilit des systmes entre eux ;
Maintenance, SAV ;
Mode dgrad ; I
Formation,
ormation, valuation, habilitation,
habilitation
FO
I T
Diffrentes socits scientifiques mettent disposition des outils et des documents
F A
(Descriptifs Standardiss en Automatisation dont MW - de la SFBC et guides de la SFIL,
SFIL
) sur lesquels les LBM pourront sappuyer pour mettre en place leur propre cahier des
I
7.2 Matrise du paramtrage et des dictionnaires/tables Q
N
Ce chapitre traite de la gestion globale
R O
globa des diffrents dictionnaires/tables
/tables. Cette gestion
englobe la cration, la mise jour, linactivation/suppression et larchivage.
Point de vigilance :
C T
L E
Le LBM met en uvre un dispositif dalerte lors de toute mise jour dun
d des
lments de la chane des systmes dinformation (exemple de personne alerter :
E
biologiste responsable, rfrent informatique,
informatique ).
R S
avec le LBM (mdecins, maeuticiens, IDE, LBM sous traitants, administrations, organismes
payeurs, UF, CNR, INVS, ANSM, EFS, fournisseurs,
fournisseurs ).
V E
Le LBM met en uvre une procdure de gestion dun tiers et de vrification de la
transmission des donnes entre tiers et LBM. La matrise des champs de lannuaire de tiers
LA
a un impact direct sur la diffusion des donnes biologiques (dmatrialisation du compte
co
rendu au format CDA, Hprim, impression centralise et/ou dporte, serveur de rsultats,
fax, ). Lannuaire contient lensemble des donnes permettant de piloter les changes
avec le tiers.
Exemples de donnes :
Donnes
onnes dadressage (postales, informatiques,
inform tlphoniques, ) ;
Donnes
onnes didentification (FINESS, RPPS,
RPPS ) ;
Donnes
onnes de hirarchisation (Etablissements de sant, UF ou services, mdecins,
maeuticiens, ) ;
Modalits
odalits de codification en fonction de la qualit du tiers (par
(par exemple codification
c
en utilisant les premires lettres du nom et les premires du prnom pour les
prescripteurs, la distinction des praticiens travaillant en cabinet et en tablissement
Exemple de catalogue :
Classement par sous domaine, famille (biochimie gnrale et spcialise,
hmatocytologie, ) ;
I
FO
Classement suivant le lieu de ralisation des examens : sur site, LBM sous-traitants.
Mthode utilise ; R O
Gestion de la redondance, du dlai de ralisation, du dlai de stabilit, ;
E
Rgles associes au code (changement dunit, ) ;
N
Acceptation technique, ;
O
Impression ou non de lexamen.
I
R S
7.2.3 Harmonisation des systmes unitaires
V E
Le systme unitaire entre deux systmes interconnects pouvant tre diffrent, il est
primordial de vrifier, pendant les vrifications, les ventuelles conversions dunits.
LA
Lorsquelle est disponible la codification LOINC prsentant des codes diffrents en fonction
du systme unitaire est recommande dans les changes de donnes entre systmes.
T
ncessaires pour le respect des 38 caractres par ligne
I
7.3 Matrise informatique de la phase pr-analytique A
analytique
F
7.3.1 Gestion informatique de lidentit des patients
(Rfrences : SH REF 02 5.4
5.4.5 U E
Q
NI
Note : "Une
Une procdure d'identitovigilance interne au LBM ou l'tablissement de sant est
fortement recommande".)
EL
demandes dexamens en format lectronique, en prescription connecte ou en sous- sou
traitance.
N
Le SIL gre plusieurs domaines d'identification de patient. Chaque identifiant permanent de
I O
patient est visiblement rattach son domaine d'identification et nest exploit que dans le
contexte de ce domaine didentification :
R S
Le domaine national
onal pour l'INS-c
l'INS ;
Autant
V E
utant de domaines d'identification que d'tablissements de soins fournissant des
donneses dmographiques au LBM (exemple : NIP ou IPP, IEP ou NDA) ;
Son
LA
on propre domaine pour l'identifiant interne attribu par le SIL.
Point de vigilance :
Lexploitation correcte par le SIL des domaines didentification est primordiale : le
patient identifi 1234 par la clinique A na aucune raison dtre la mme personne
que le patient identifi 1234 par lhpital B.
F A
la procdure didentitovigilance. Une attention particulire est porte la gestion des
discordances entre la carte vitale et les informations didentit communiques par le patient
accessibles.
U E
ainsi qu la prise en compte des cas o les donnes de la carte vitale du patient ne sont pas
I Q
7.3.1.3 Donnes patients reues dans les demandes dexamens
dmatrialises N
R O
Lassociation des demandes dexamens reues du systme demandeur des dossiers
patients existants dans le SIL fait lobjet des mmes prcautions que dans le cas dune
C T
liaison fournissant identits et mouvements : utilisation des identifiants fournis dans le
contexte de leur domaine didentification ; contrle de concordance des traits didentit
fournis avec ceux du dossier existant.
L E
7.3.2 Fusion des dossiers patients E
N
Le recours aux fusions de dossiers permet, en rduisant les dossiers en doublons, de
I O
maintenir une cohrence du suivi des patients. La fusion de dossiers tant une opration
S
critique, il convient que celle-ci soit trace et effectue par des oprateurs en nombre limit
et dment habilits. Une autorisation daccs spcifique cette fonctionnalit dans le SIL ou
R
le SIH peut tre prvue par le fournisseur informatique. Si ce nest pas le cas, la procdure
E
en tient compte.
V
LA
Afin dviter tout problme didentitovigilance, la fusion de dossiers de patients ayant des
groupes sanguins diffrents nest pas possible. Le LBM sassure de cette impossibilit lors
de la cration de dossier patients-tests. Le cas chant, le LBM prend des dispositions pour
pallier le manquement de son SIL.
Plus gnralement, toute discordance entre les deux dossiers fusionner fait lobjet dun
message davertissement retourn par le logiciel avant validation de cette fusion. Si le
logiciel noffre pas ce mcanisme de contrle, la procdure en tient compte.
Cette fonctionnalit devant tre encadre, il importe de dfinir une liste de critres
permettant didentifier les doublons lorsquils sont identiques et de bloquer la fusion lorsquils
sont diffrents, ceci afin de respecter lintgrit du dossier patient.
Point de vigilance :
La fusion tant une opration critique pour le suivi des patients, il est souhaitable
I
FO
que si un doublon est suspect sur lassociation de plusieurs critres, la fusion en
cas de discordance dun des critres ne puisse se faire quaprs une tude de
risque.
I T
7.3.3 Prescription (papier et/ou connecte)
(Rfrences : NF EN ISO 15189 5.4.1)
F A
U E
La feuille de prescription parvient au LBM sous forme papier et/ou sous forme d'un flux
Identification I Q
lectronique. La feuille de prescription comporte les lments suivants :
n du prescripteur et de l'organisation prescriptrice (tablissement de soins
N
et service, ou cabinet mdical). L'identification peut tre le nom et/ou le n FINESS de
l'organisation ;
Identification R O
Adresse
C T
dentification du prescripteur et des autres mdecins destinataires du compte
co
dresse de l'organisation prescriptrice / du prescripteur et adresse des autres
rendu ;
N
chant un nom d'usage. Chacune cune de ces informations tant portes
porte dans un
I O
champ individualis et clairement identifi. En cas de prescription
R S
anonymise, l'identit n'est pas fournie ou est remplace par une chane de
caractres anonymise ;
V E
o Le
o La
e sexe du patient est renseign dans un champ ddi, distinct de la civilit ;
a date de naissance du patient est fournie, si elle est connue prcisment.
LA
Pour les patients dont la date de naissance n'est pas connue prcisment,
celle-ci
ci peut se rsumer une anne de naissance ou une date de
naissance dite lunaire fournie par l'organisme d'assurance maladie via la carte
Vitale du patient ;
o L'INS-cc du patient,
patient si connu. En l'absence d'INS-c le LBM ou l'tablissement
met en uvre une procdure d'identitovigilance renforce ;
o Le NDA (n d'hospitalisation ou de visite) du patient au s ein de
l'tablissement, lorsque l'organisation prescriptrice est un tablissement.
tablissement
En n cas de flux lectronique, identifiant de la prescription dans le systme de
l'organisation prescriptrice ;
Nom du prleveur ;
I T
En cas de sous-traitance d'examens, la demande d'examens adresse au LBM sous-traitant
R
Points vrifier sur le SIL :
C T
Lenregistrement informatique de la feuille de prescription dans le SIL produit une demande
L E
d'examens sur laquelle on retrouve l'ensemble des informations listes ci-dessus auxquelles
s'ajoutent la date et lheure de rception des spcimens primaires au LBM.
E
7.3.4 Cas particulier de lautocration de demande dexamens
N
Le LBM prend des dispositions afin de scuriser ce mode de connexion.
I O
R S
Exemple de dispositions :
Loprateur analyse le spcimen sur lanalyseur sans enregistrement pralable sur le
SIL ;
V E
Les oprateurs sont forms/habilits ;
LA
Loprateur identifie son spcimen sur lanalyseur avec lidentifiant patient (IPP ou
NDA) ;
Le ou les rsultats sont transmis au SIL avec lidentifiant, en connexion directe ou via
un MW ;
La demande est gnre automatiquement sur le SIL qui lui affecte un numro et y
range les examens avec leurs rsultats.
Il est important que le LBM dfinisse les paramtres de matrise de cette fonctionnalit,
concernant :
Le ou les lment(s) administratif(s) permettant(s) dinterroger le SIL ou le SIH afin
de scuriser laffectation des rsultats au dossier patient. Exemples : IPP, NDA, nom
de famille, prnom, ... ;
Le mode de transfert des donnes ainsi que leur traabilit,
F A
pr-requis avant de mettre en production les changes dinformations entre les diffrents
systmes informatiques du LBM.
diffrents systmes.
U E
Le type de connexion est dfinir par le LBM, en tenant compte des possibilits des
N
R O
Etat des lieux : deux modes de connexion sont utiliss ce jour :
Connexion monodirectionnelle : flux de donnes dans un seul sens. Lanalyseur
C T
dtermine (par configuration ou par saisie manuelle de loprateur) son ordre de
travail sur un spcimen (les analyses raliser sur ce spcimen). Il excute lordre,
L E
puis renvoie au SIL ou au MW les rsultats associs lidentifiant du spcimen ou
E
sa position sur lanalyseur ou son rang dans une liste de travail.
Connexion bidirectionnelle : flux de donnes dans les deux sens. Lanalyseur
N
obtient du SIL ou du MW son ordre de travail sur le spcimen (la liste des analyses
I O
raliser ainsi que les informations contextuelles ncessaires comme, par exemple, le
R S
numro de la demande dexamens, lidentit du patient, celle du prescripteur, ). Ce
flux aller peut se drouler de deux faons :
V E
o Connexion bidirectionnelle en mode chargement: le SIL ou le MW envoie au
pralable les ordres de travail lanalyseur qui les mmorise passivement en
LA
attendant de traiter les spcimens.
o Connexion bidirectionnelle en mode interrogatif : lanalyseur est linitiateur et
interroge le SIL ou le MW au vu du spcimen (reconnaissance de ltiquette
code barre) et reoit en rponse lordre de travail excuter pour ce
spcimen.
Aprs avoir excut lordre de travail lanalyseur renvoie les rsultats avec les
informations de contexte au SIL ou au MW.
F A
de communication : SIL <> MW, MW <> analyseur. Le MW a souvent besoin de
plus de donnes contextuelles que lanalyseur. Dautre part, le MW peut rpartir le
U E
travail entre plusieurs analyseurs et produire ainsi plusieurs sous-ordres partir de
lordre de travail transmis par le SIL. De mme, le mode de connexion est
configurer sur chacune des tapes de communication.
I Q
N
R O
Exemples de points sensibles du flux de retour des rsultats :
o Dfinir les lments qui composent le flux de rsultats. identifiants
retourner (patient, demande) ;
C T
o Numro de spcimen dans une taille et un format compatibles entre les deux
L E
systmes et assurant la protection contre les collisions ;
o Codes analyses : habilitation au paramtrage/matrise de la table de
transcodage ; E
N
o Donnes du rsultat : codage des rsultats qualitatifs, units des rsultats
I O
numriques, alarmes codes, codes dinterprtation (> ou <, L ou H, ...),
o
R S
commentaires textuels et cods, ;
V E
Lorsque la connexion passe par un MW ces lments sont dterminer sur chacune
des tapes de communication, le MW tant susceptible denrichir le flux de rsultats
LA
initial de lanalyseur avec, par exemple, des donnes dacceptation et dinterprtation
des rsultats. De plus, le MW est susceptible de gnrer des ordres de repasse, sur
le mme analyseur ou sur un autre, avec ou sans modification de lordre initial :
dilution, concentration, ajout danalyses, ;
Traabilit des oprateurs ayant ralis (sur lanalyseur, sur le MW) une action
(acceptation du rsultat, interprtation, commentaire, dcision de repasse, choix
entre les rsultats de deux passages, ).
La criticit des rgles oprationnelles est dfinir par le LBM. Leur paramtrage est confi
des oprateurs habilits et est trac. Le LBM met en place une politique concernant :
Lexploitation ;
La criticit ;
La validation par lutilisation de patients test ; I
La dfinition des extrmes pour chaque type de calcul ;
La vrification du fonctionnement des rgles de gestion et le fonctionnement en FO
cascade ; I T
La traabilit des rgles mises en uvre ;
Le systme de test en continu (rgles mises en dfaut, ) ; F A
U E
7.4.3 Contrle(s) de qualit connect(s)
I Q
N
Les contrles de qualit peuvent tre grs par des systmes informatiques comme le SIL,
R O
les MW ou dautres systmes. Le paramtrage des contrles est effectu par des
oprateurs habilits et selon les besoins exprims dans la procdure de gestion des
T
contrles qualit (rgles de Westgard par exemple).
C
L E
La mise en place dune liaison de gestion des contrles qualit ncessite de dfinir des
rgles de fonctionnement et dutilisation, concernant :
E
Les rgles de gestion des contrles qualit avec blocage ou non de la production ;
La traabilit des oprations effectues sur lacceptation ou le refus dun ou de
N
I O
plusieurs contrles qualit ;
La liste des oprateurs responsables de la validation des contrles qualit ;
S
La liste des oprateurs habilits paramtrer et grer le systme des contrles
R
V E
qualit en gnral ;
Modalits
odalits de transfert des donnes biologiques : numriques, codes textes, units,
intervalles de rfrence, antriorits, commentaires, prestation
prestation de conseils,
techniques, ;
Rgles
gles de confidentialit (par exemple pour les examens concernant le personnel de
ltablissement de sant,
sant ) ;
Surveillance
urveillance de fonctionnement de ce mode de diffusion (mise en place dun tableau
de bord, ) ;
Traabilit
it de la consultation des comptes rendus par les tiers ;
U
particulire est porte en cas de mise en place dun accs en mode urgence
vitale ( bris de glace ) ;
Les IDE,, le personnel paramdical ; I Q
Les patients. N
Une traabilit nominative est mise en place.
R O
Point de vigilance :
C T
L E
Le LBM prend des dispositions concernant la transmission des rsultats jugs
proccupants et des examens diffusion restreinte.
E
N
Exemple de modalit de consultation pour les patients lorsque le LBM met disposition sur
I O
son serveur de rsultats,, les comptes rendus dexamens de biologie mdicale pour les
patients ayant donn leur accord explicite :
R S
Le compte rendu est disponible pendant une dure dtermine et la notification de
sa disponibilit se fait par mail et/ou SMS ;
LaccsE
accs se fait via un login et un mot de passe, communiqus sparment au
V
patient. Un dispositif de mot de passe usage unique transmis au patient par SMS
LA
ou mail, au moment de la connexion, donne un meilleur niveau
niveau de scurit ;
Le e compte rendu nest mis disposition que lorsquil est complet.
La liaison SIL ligne tlphonique (mode fax) ncessite une matrise des points critiques
suivants :
Lintgrit des numros de fax utiliss ;
La mise en place dune convention de preuve avec le tiers (Cf. annexe 1) ;
Le suivi de la transmission (par exemple via un Tableau de bord ) ;
La traabilit de la transmission.
F A
de rgles de priorit. Un tel systme peut devenir un outil complexe la faveur de
l'accumulation et de linteraction de rgles multicritres du type : ge du patient, sexe, dlai
entre deux examens, volution d'un rsultat d'analyse dans ce dlai, rsultats d'autres
analyses, indice de priorit de rgle,
U E
I Q
Les recommandations de ce chapitre sappliquent aux rgles dexpertise qui peuvent faire
N
partie intgrante dun SIL. En revanche, les systmes experts intimement lis des
automates danalyse sont, au titre des DM DIV, exclus du champ de ce prsent document
R O
puisquils sont soumis une validation ou vrification de mthode (logiciels de calcul de
risques de trisomie 21, systmes experts dantibiogramme, ).
C T
On s'assurera que les rgles sont pertinentes, en vrifiant que le comit de spcialistes qui
validation. L E
les a labores soit qualifi et que le systme ait prouv son efficience via un dossier de
E
N
7.5.4.1 Catgories de systmes
I O
Les SAVB dits "partiellement ouverts" :
Dans ce cas le systme est livr avec un ensemble de rgles dexpertise prprogrammes,
S
non modifiables, et leur mcanisme d'action est parfois inaccessible.
R
V E
Les SAVB dits ouverts :
Dans ce cas les rgles sont toutes librement paramtrables. L'laboration de ces rgles qui
LA
reprsente un point sensible est maitrise par les biologistes.
Dans le cas o le SAVB est un logiciel indpendant du SIL, la mise en place de la connexion
est une phase aussi pousse qu'une connexion type MW (Cf. 7.4).
N
nouvelles rgles. Celle-ci consiste laisser agir le SAVB mais maintenir une expertise, par
les biologistes, des rsultats de chaque demande dexamens. Les biologistes auront t
C T
Par exemple, la suite de la modification de la rgle d'expertise de la cratinine, le LBM
L E
pourra procder une phase probatoire d'un mois au cours de laquelle tous les examens
contenant cette analyse seront retenus dans le menu des rsultats valider et assortis d'un
E
marquage signifiant "nouvelle rgle d'expertise en test pour la cratinine " du type flag,
N
zone colore, un message court, ... .
I O
7.5.4.4 Exploitation du systme
R S
La trace de lexpertise d'une demande d'examens biologique par le SAVB est parfaitement
visible, de prfrence au niveau du tableau de bord de validation, avec un niveau de dtail
E
permettant de voir le comportement du systme pour chaque analyse (flag, couleur, ...).
V
LA
7.5.4.5 Surveillance du systme
Le comportement du SAVB est priodiquement valu, par une combinaison de moyens.
Toute anomalie ou mme toute insuffisance fait l'objet d'une action corrective.
L'examen dtaill d'une srie de demandes d'examen. Le biologiste d'un site est
dsign pour examiner rtrospectivement toutes les demandes examens expertises
par le SAVB sur une priode donne (journe, demi-journe, ...) pour s'assurer de la
pertinence des expertises effectues par celui-ci. Cette valuation est faite
priodiquement : trimestrielle, semestrielle, Cela implique que le SIL trie dans une
entit ddie (menu, dossier, rpertoire, ...) et sur une priode donne, les demandes
dont au moins un rsultat dexamen aura t expertis par le SAVB.
L'exploitation priodique des alarmes. Tout SAVB est quip d'un systme de
dtection des conflits entre rgles dcisionnelles qui conduit :
o La non expertise du ou des rsultats concerns ;
o L'enregistrement d'une alarme dtaillant les sources du dysfonctionnement
dans une entit facilement accessible par le biologiste.
Le LBM peut mettre en place un examen priodique (hebdomadaire, mensuel, ) de I
FO
ces alarmes.
Le suivi statistique des non-conformits et des rclamations lies cette expertise
I T
assiste. Une sensibilisation au caractre systmatique de leur enregistrement est ici
tout particulirement indique auprs de tous les acteurs du LBM.
Q
ainsi que les niveaux dhabilitation afin den assurer la matrise.
I
N
Sil il le juge ncessaire, le LBM nomme un responsable informatique et ventuellement un
R O
supplant. Ces nominations peuvent faire appel des personnes internes et/ou externes au
LBM en fonction des comptences et/ou de lintgration du LBM dans une structure
L E
Les responsabilits informatiques pouvant tre primtre variable, il est ncessaire de
E
dfinir prcisment le rle de chacun sur diffrents points comme :
Gestion du catalogue des examens dans le SIL, paramtrage, mise jour ;
N
Gestion des connexions, paramtrage, maintenance, supervision ;
I O
Gestion des changes lectroniques, donnes didentits et de mouvements,
rsultats ;
R S
Identitovigilance ;
V E
Gestion de limpression et de la mise sous-pli des rsultats ;
Gestion du parc matriel ;
LA
(Cf. annexe 3)
I T
droits daccs sont dfinir sur le SIL et les systmes associs. Les intervenants sont
rfrencs et les modifications traces (Cf. 7.9). Il est vrifi que les droits dfinis sont en
adquation avec leurs comptences.
F A
Exemple de hirarchisation :
U E
Les intervenants : techniciens, secrtaires, biologistes, qualiticiens, ;
I Q
Les fonctions : rfrent technique, rfrent mtrologie, ;
Les niveaux dhabilitation : matres ou administrateurs, utilisateurs, ;
Les droits daccs : N
o Validation ;
R O
o Paramtrage examens ;
C T
o Accs aux modifications administratives ;
L E
o Accs aux fusions de dossiers ;
o Accs aux modifications de rsultats aprs validation biologique ;
o E
N
I O
7.7.3 Dlai de verrouillage aprs inactivit
R S
Afin de garantir limputabilit des actions aux utilisateurs, il est important de dfinir un dlai
de verrouillage ou dconnexion sur inactivit avec masquage des donnes affiches. Afin de
V E
protger les donnes, de garantir la scurit du systme et de sassurer de la traabilit des
actions, le LBM indique dans sa politique de scurit informatique les modalits de
verrouillage :
LA
Au moment de quitter son poste de travail ;
En fonction dun temps prdfini dinactivit ;
En cas de changement dutilisateur.
Certains LDAP (Cf. 6) permettent de dfinir de manire centralise ce dlai pour tous les
postes et tous les utilisateurs authentifis.
Le mode dgrad implique la mise en place dun plan de continuit adapt en fonction de
chaque incident (panne dune ou plusieurs connexions, panne MW, panne SIL, panne
I
FO
serveur de rsultats, ).
Ce plan intgre :
Lanalyse de risques ;
I T
La reprise dactivit ;
F A
Les modalits de reprise des donnes (administratives, rsultats, autres, ) ;
Les modalits de traabilit.
U E
I Q
Exemple de stratgie en mode dgrad (schma trois tapes) :
Etape 1 : Etiquettes pr-imprimes
N
de la structure.
R O
gnration de numros avec le nombre de caractres habituellement utilis au sein
C T
Etape 2 : Le SIL est en panne fonctionnement en mode dgrad ou aprs coupure du SIL
Principe dutilisation simple, chaque prlvement du dossier se verra affecter un
L E
numro partir des tiquettes pr-imprimes/panne prpares en avance ;
E
Ce numro est dfini au pralable (il nest en aucun cas susceptible dentrer en
conflit avec un numro habituellement attribu par le SIL) ;
N
Le LBM prvient sil le juge ncessaire les tiers ;
I O
Le LBM garde un listing papier de lanalyseur (impratif) et de la communication des
rsultats :
R S
o Rendu par les analyseurs ou MW ;
V E
o En respectant le plus possible les units habituellement utilises ;
o
LA
Etape 3 : Le systme redmarre rcupration des informations
Le LBM prvient les tiers si ncessaire de la reprise et met en uvre une stratgie :
o Denregistrement pour chaque demande dexamens avec les natures de
prlvement sy rattachant ;
o De changement de lheure (et ventuellement de la date) sur chaque
demande dexamens ;
o De rcupration des rsultats des automates et concentrateurs ;
o
L E
Exemples : E
Exploitation
N
xploitation des donnes analyseur sauvegardes
gardes (accs, lecture par logiciel
I O
automate (format exploitable ou lisible),
lisible) ) ;
R S
E
7.9.3 Archivage des donnes
V
Le LBM met en uvre une procdure darchivage
d dess donnes biologiques et des donnes
LA
du systme qualit. Lobjectif est de pouvoir relire les donnes au cours du temps sans
perte dinformation. La dure de conservation des donnes est conforme la rglementation
rglementa
en vigueur et ne peut tre infrieure 18 mois afin de garantir la traabilit entre deux
valuations successives Cofrac.
Cofrac
Larchivage est rversible : le SIL offre une fonction de dsarchivage dune slection de
I
FO
demandes dexamens, qui consiste rebasculer ces demandes dans le statut en cours .
Une demande dsarchive peut nouveau tre modifie comme toute demande en cours,
avec les mmes conditions et rpercussions :
I T
F A
Toute modification dexamen, danalyse, de rsultat, ractive les phases analytique
(notamment lacceptation des rsultats modifis) et post-analytique (validation,
rediffusion du compte rendu correctif aux destinataires) ;
U E
Une modification dun des lments didentification du dossier patient (nom, prnom,
I
la phase analytique de cette demande a t r-ouverte.Q
sexe, date de naissance) est rpercute sur la chane analytique dans la mesure o
N
Une fois les oprations ayant ncessit le dsarchivage effectues, et le cas chant, aprs
C T
7.9.4.2 Archivage des compte rendus dans leur format de diffusion
L E
En parallle de larchivage en ligne des demandes dexamen, le compte rendu diffus sous
E
format papier ou lectronique est archiv sous son format de diffusion, et conserv dans un
fichier informatique. Il est un lment majeur de la preuve lgale du rendu de rsultat. Si le
N
fichier a fait lobjet dune signature lectronique, cest le fichier sign lectroniquement qui
I O
est archiv. Dans le cas dun rsultat dexamen qui a fait lobjet dun rendu partiel puis
complet ou dun dsarchivage puis rarchivage , tous les fichiers rsultats gnrs et
S
transmis sont conservs.
R
V E
Pour assurer la prennit de format, deux formats principaux sont privilgier :
PDF/A : la spcification PDF/A-1 a t publie par l'ISO et est utilise par les
LA
organismes de normalisation du monde entier pour garantir la scurit et la fiabilit
de la diffusion des changes de documents lectroniques. PDF/A-1 optimise
lindpendance matrielle et logicielle. Le contenu de la norme ISO 19005-1 est trs
complet. Il comprend la dfinition du format PDF/A-1, mais aussi la faon de
dvelopper un outil de visualisation de fichier conforme ce format. Cela garantit
ainsi la possibilit future de toujours disposer d'un outil de visualisation ;
Le format compte rendu structur de biologie tel que spcifi par le cadre
dinteroprabilit des SI de sant. Ce format sappuie sur le standard CDA. Ses
spcifications sont prennes et compatibles avec une indpendance matrielle et
logicielle.
F A
7.10 Sauvegarde des donnes
Il faut diffrencier sauvegarde des donnes
U E
donnes et archivage des donnes. La sauvegarde des
I Q
donnes est ralise pour viter toute perte de donnes dans le cas dun incident majeur
(crash systme, incendie, ) alors que larchivage est ralis pour figer les donnes
importantes ou valeur contractuelle
N
ractuelle dun systme dinformation. Les archives sont dailleurs
elles-mmes sauvegardes.
R O
7.10.1 Types de sauvegarde
C T
Il existe de nombreuses stratgies de sauvegardes de donnes dont les grands types sont :
L E
La sauvegarde totale qui fait une image de lensemble dun systme un instant
donn.. Cette sauvegarde considre aussi bien les fichiers relatifs la base de
E
donnes, les programmes du SIL, les traces et les archives ;
La N
a sauvegarde incrmentale (ou partielle) qui fait suite une sauvegarde totale et
enregistre
I O
gistre uniquement les donnes modifies depuis la dernire sauvegarde totale
R S
ou incrmentale. Ce type de sauvegarde est beaucoup plus rapide raliser mais
ncessite aussi un dlai plus important en cas de restauration (restauration dabord
La V E
de la sauvegarde de totale puis des toutes les sauvegardes incrmentales) ;
a sauvegarde en temps rel qui duplique chaque enregistrement sur deux dispositifs
LA
de stockage compltement dissocis (voir distants). La sauvegarde en temps rel
peut-tre
tre ralise par des logiciels
logiciels spcifiques ou directement par les dispositifs de
stockage eux mme ;
La a sauvegarde de la base de donnes seule. Cette sauvegarde est considre
comme une sauvegarde partielle. Une mise jour de la base de donnes pouvant
tre disponible pendant la sauvegarde,
sauvegarde, la sauvegarde peut tre corrompue si le SIL
nest pas prvu pour une sauvegarde systme ouvert.
ouvert
Point de vigilance :
Le LBM dfinit en partenariat avec son fournisseur de SIL les sauvegardes
effectuer et sassure de leurs bons droulements.
Les systmes dits en cluster (un serveur principal et un serveur de secours) sur un
seul et mme site utilisent souvent un seul et mme dispositif de stockage qui
devient le maillon le moins redondant du systme, ce qui ncessite une surveillance
surv
accrue du LBM pour sassurer de son bon fonctionnement.
Point de vigilance : C T
L E
La plus part des serveurs disposent de disques dits en RAID (rplication des
E
donnes sur plusieurs disques dans le mme dispositif de stockage). Ces disques
tant dans le mme dispositif de stockage, le RAID nest pas considr comme un
N
systme de sauvegarde mais simplement comme un systme permettant une
O
continuit de service cas de dysfonctionnement de lun des disques.
I
R S
7.10.3 Frquence des sauvegardes
V E
Aprs analyse des risques et des contraintes dinterruption
dinterruption et de restauration de service, le
LBM dfini dans son systme qualit la frquence des diffrentes sauvegarde et la
frquence dexternalisation des sauvegardes hors feu .
Certains logiciels disposent dun marquage CE DM DIV. Il sagit de logiciels isols (non
intgrs dans un dispositif mdical) ayant une fonction de gnration dinformation nouvelle
finalit mdicale (systmes experts). La notion de risque nest pas un critre de
qualification. Le LBM adapte le niveau de vrification en fonction de ses exigences et du
rfrentiel applicable. I
FO
NB : Quel que soit le logiciel, en cas dincident consistant en une dfaillance ou une
I T
altration des caractristiques ou des performances de ces systmes, ou une inadquation
de la notice dutilisation, susceptibles dentraner des effets nfastes pour la sant des
F A
personnes, le LBM procde un signalement lANSM. A cet effet, le LBM intgre dans sa
procdure de vigilance un dispositif afin de rpondre cette obligation rglementaire.
U E
Les modalits de signalement sont disponibles sur le site de lANSM.
I
8.2 Vrification du paramtrage (examens, textes cods,Q
connexions, rgles) N
Le paramtrage comprend trois phases :
R O
Phase de cration ;
C T
o Expression du ou des besoin(s), par exemple laide dun enregistrement (Cf.
annexe 4 Exemple 1) ;
L E
o Conservation ou non des antriorits en cas de changement de mthode
o E
dun examen existant ;
N
I O
NB : si le dossier de vrification/validation de mthode autorise la conservation de lexamen
S
et des antriorits (rsultats comparables entre lancienne et la nouvelle mthode), le LBM
sassure que les demandes dexamens cres antrieurement la mise en service de la
R
nouvelle mthode contiennent bien, en cas de rdition du compte rendu, toutes les
). V E
donnes initiales (nom de la mthode, identification de lanalyseur, intervalle de rfrence,
LA
Phase de vrification avant mise en service :
Le LBM ralise un jeu dessai de patients tests afin de garantir la fonctionnalit du
paramtrage et couvrir la majorit des scnarii (syntaxe, erreur automate, ). Toutes les
tapes de la saisie des demandes jusqu limpression ou la transmission des rsultats
doivent faire lobjet de vrifications. Les preuves de vrification sont apportes par la
ralisation de dossiers patient-test , chaque cration dexamen, de connexion, de rgle
et de tout texte cod jug critique par le LBM (par exemple les textes cods utiliss dans la
saisie dun groupe sanguin).
Phase de production :
Au cours de lexistence dun examen, le LBM peut tre confront un scnario non test
ayant ou non une consquence sur le rendu des rsultats. Un correctif du paramtrage est
effectu et trac sur lexamen. Une analyse de ltendue de ce scnario est ralise par le
LBM.
FO
bon transfert des donnes, la bonne gestion des arrondis, des calculs secondaires, des
commentaires et texte cods automatiss, ou encore le bon fonctionnement des rgles
dexpertise du MW,
I T
de :
F A
Le LBM sattache choisir des dossiers test en fonction du processus vrifier en termes
R O
transferts utiliss aux diffrentes interfaces, mais cela ncessite un minimum de
comptences en informatique pour leur exploitation.
C T
Dans le cas des automates pri-analytiques, les patients tests peuvent galement tre
L E
accompagns dchantillons primaires afin de vrifier lensemble du processus
daliquotage/srothquage. Une ralisation effective des analyses peut galement tre
E
ralise afin de vrifier le processus dans son intgralit.
N
Enfin, dans de nombreux cas la vrification du transfert de donnes peut se faire au fil de
I O
leau laide des donnes relles produites par la gestion quotidienne des examens. Par
R S
exemple en hmatocytologie, lorsque le rsultat de lautomate induit une vrification sur
lame, loprateur peut en saisissant les rsultats de son contrle de formule vrifier en mme
V E
temps le bon transfert des donnes de la numration et tracer cette vrification directement
sur le ticket automate utilis.
LA
Dans la suite de ce guide, la notion de patients tests correspond minima une vrification
de type point point .
8.2.1 Examens
Le paramtrage dun examen est une opration critique quil convient de vrifier et de valider
avant mise en service en se concentrant minima sur les points suivants :
Facteur de conversion (units internationales / units conventionnelles) ;
Pertinence du nombre de chiffres significatifs dans les rgles darrondissages. Il
ressort que le nombre de chiffres significatifs peut tre diffrent selon que lon
exprime les units en SI ou en units conventionnelles ;
Exemple de la cratininmie : ne pas rendre de dcimales pour les rsultats exprims
en micromoles/l ; en revanche, il convient dexprimer avec une dcimale les rsultats
en units conventionnelles (mg/l) ;
La modification dun paramtrage dexamen est trace avec une gestion de version et une
possibilit de retour arrire.
(Cf. annexe 4 Exemple 2)
(Cf. annexe 5) L E
est important de vrifier toutes les connexions.
E
N
8.2.4 Vrification des rgles de gestion des examens
I O
Avant mise en service, le LBM vrifie la fonctionnalit des rgles. Le LBM effectue des tests
de cohrence afin de garantir lefficience des rgles mises en uvre.
R S
Dans ce cas, lanalyse du processus considr est dterminante pour le choix du type et du
nombre de patients tests effectuer.
E
(Cf. annexe 6)
V
LA
8.2.5 Vrification des alarmes transmises par les analyseurs
Il est important de vrifier dans le paramtrage de la connexion les modalits de
transmission et de gestion des codes dalarmes transmis par les analyseurs et de sassurer
que les ventuelles rgles associes sappliquent correctement.
Comme pour les rgles dexpertise du MW, lanalyse du processus considr est
dterminante pour le choix du type et du nombre de patients tests effectuer.
(Cf. annexe 7)
I O
R S
La vrification de transmission des donnes peut tre effectue par le biais de
comparaisons de copies dcran ralises sur diffrents postes et diffrentes tapes du
V E
processus (Cf. annexe 8), ou par comparaison de type point point (Cf. 8.2).
Preuves documentaires possibles :
Le LBM met en place une recette dintgration visant valider, dun point de vue
LA
fonctionnel, que la nouvelle interface et/ou interoprabilit dveloppe par le
prestataire est bien conforme aux besoins fonctionnels rglementaires et/ou
exprims ;
Le LBM trace les intgrations des interfaces et/ou interoprabilit des diffrents
systmes informatiques utiliss (SIL, MW, Systme expert, ) et conserve les
preuves (copies dcran, ).
Vrification
rification de la cohrence des fichiers avec les donnes de biologie prsentes
dans le SIL ;
Vrification des zones communes et diffrentes dans les fichiers gnrs, toutes les
donnes devant tre identiques sauf au niveau des donnes prescripteurs savoir
savoi le
nom de fichier et lentte ;
L
encore une vrification de type point point entre les donnes valides
val issues
du SIL (compte rendu) et les donnes visualises ou imprimes partir du logiciel
mdecin permet de valider le bon fonctionnement de la connexion.
I Q
dintervention et prend des dispositions permettant dinformer le responsable des
systmes dinformation lors de toute modification de logiciel, en particulier lors
dintervention extrieure. N
R O
Tout changement de version dun logiciel embarqu sur un analyseur ou dun SIL est valu
T
en fonction de lanalyse de risques ds son installation et fait lobjet de ralisation de patients
C
tests.. De mme le changement du protocole de connexion dun analyseur analys ncessite une
vrification des interoprabilits.
L E
E
La lecture du rapport dintervention permet didentifier les patients tests raliser (Cf.
annexe 9) : tests de connexion, transmissions dmatrialises de comptes-rendus,
comptes Pour
les analyseurs ralisant
N
ant une expertise, comme par exemple les systmes experts
I O
dinterprtation des antibiogrammes, le LBM teste quelques rgles dexpertise par
chantillonnage (saisie manuelle ou reprise de phnotypes caractriss pour vrification des
R S
rgles dexpertise par rapport aux rfrentiels choisis par le LBM).
Le LBM trace les changements de versions des diffrents systmes informatiques utiliss
V E
(SIL, MW, Systme expert, ) (Cf. 8.7).
Exemple de non rgression Vrification de la Liaison LBM/prescripteur suite lajout de la
LA
fonctionnalit LBM/correspondant :
La nouvelle fonctionnalit LBM/correspondant est teste en intgration fonctionnelle ;
Le LBM vrifie la non rgression fonctionnelle concernant la connexion dj existante
LBM/prescripteur :
o Vrification de la gnration des fichiers scuriss par le SIL ;
o Vrification
rification de lenvoi effectif du message scuris au(x) bon(s)
destinataire(s).
(Cf. annexe 10)
Point de vigilance :
Aprs une analyse de risque en cas de rgression le LBM peut envisager un retour
la version antrieure ( dfinir dans les pr-requis).
pr
I Q
Si valeur confirme : rgle 3 : rendre sur le compte rendu <10%, rsultat vrifi ;
Pour
N
our linterprtation par rapport lhmatocrite, rgle 4 : si numration dans le
R O
dossier, si hmatocrite < 30% rendre un commentaire sous le rsultat TP : Compte
tenu de la valeur de lhmatocrite < 30%, les rsultats de lINR et du TCA sont
probablement sous-estims
estims .
C T
E
8.5.3 Vrification des sauvegardes et de larchivage
L
Archivage lectronique : le
darchivage dfinie. E
e LBM reproduit le rapport fidlement durant toute
tou la dure
N
Le
I O
e LBM sassure de lintgrit des donnes au cours du temps et vrifie laide de
d
R S
dossiers patients la possibilit de consulter les archives.
archives
Les sauvegardes sont vrifies de manire rgulires par le LBM et des exercices de
V E
restauration de donnes sont raliss a minima une fois par an. Ces exercices de
restauration peuvent se faire
e sous la forme :
LA
De e restauration des sauvegardes compltes sur un serveur de test ;
De e restauration des sauvegardes sur un serveur lou pour une courte dure chez un
hbergeur (cryptage des donnes et scurisation par mot de passe avant transfert
suppression
ssion des donnes aprs test).
Point de vigilance :
La restauration des sauvegardes directement sur lenvironnement de production est
dconseille. Si la sauvegarde nest pas intgre, le LBM aura perdu ses donnes.
9 ANNEXES
Mr Le Dr xxxxxx
22 rue du Pont I
FO
TRANSMISSION ELECTRONIQUE DE RESULTATS D'EXAMEN
CONVENTION DE PREUVE I T
F A
La transmission dmatrialise de rsultats est soumise des exigences imposes par l'Etat aux
laboratoires de biologie mdicale (norme ISO 15189, dcret n 2007-960 du 15.05.07).
Ces exigences peuvent se rsumer ainsi :
U E
Authentifier l'metteur des comptes rendus et le destinataire (notion de non-rpudiation)
I Q
Tester l'exactitude des identifiants qui permettent la transmission lectronique ; par exemple :
n de fax, adresse de messagerie, code de cryptage s, )
N
Vrifier l'intgrit des donnes figurant dans les comptes rendus tltransmis
O
Prserver la confidentialit de ces informations sur le lieu de rception
R
les destinataires de nos comptes rendus.
C T
Nous sommes ainsi tenus de mettre en place un contrat encore appel convention de preuve avec
L E
Dans ce but, nous vous demandons de bien vouloir comparer le compte rendu test ci-joint au
E
document qui vous a t transmis lectroniquement et de nous retourner la prsente
convention l'adresse ci-dessous:
N
I O LBM xxx
R S 2, rue xxxx
75 000 PARIS
V E Fax : 01 xx xx xx xx
LA
Je soussign, ______________________________
Fait Le
Cachet et Signature
Mission principale :
Sous l'autorit des biologistes du LBM (et en lien avec l'quipe DSI de ltablissement de
sant), le rfrent informatique est responsable du bon fonctionnement des SIL. Il assure, au
sein de lquipe et en relation avec les biologistes, une mission d'interface, d'assistance
pdagogique et de maintenance. Il participe au choix et au dveloppement d'outils
informatiques.
Activits :
I
FO
Assistance et formation des utilisateurs des SIL :
identifier et analyser les problmes rencontrs dans lutilisation des SIL,
procder l'assistance des utilisateurs en lien avec la DSI,
I T
former, de manire individuelle ou collective, aux logiciels utiliss, aux
O
cibler et reformuler les demandes de requtes issues des services et
directions ou des partenaires externes (tablissements de sant, ),
R
T
traiter, mettre en forme et diffuser les rsultats de la requte
raliser et mettre en forme les statistiques, les graphiques et les tableaux de
C
bord partir des donnes extraites des SIL,
L E
Assurer une maintenance de proximit des logiciels
cibler et analyser les dysfonctionnements
E
assurer la sauvegarde du serveur et le bon fonctionnement du matriel
N
informatique en lien avec la DSI,
I O
assurer le suivi et la coordination de l'quipement des utilisateurs
(planification et information)
R S
Participer au choix des nouveaux produits, au dveloppement de projets et
d'outils informatiques favorisant la modernisation du service rendu (systme
V E
de contrle deffectivit, dmatrialisation des donnes)
recenser et analyser les nouveaux besoins des utilisateurs,
LA
identifier des axes d'amlioration des logiciels et du matriel informatique,
participer l'tude prospective relative au choix des nouveaux produits et au
dveloppement des outils informatiques du LBM,
participer des runions et des groupes de travail,
participer l'laboration de cahiers des charges,
participer au choix et la mise en place de nouveaux logiciels et du matriel
informatique,
accompagner la mise en place des nouveaux outils (procder des tests et
raliser des guides d'utilisation)
Comptences requises :
Connaissances :
connaissance du domaine LBM,
connaissance des activits des utilisateurs,
bonne connaissance de l'outil et de l'environnement informatique (logiciels)
Aptitudes professionnelles :
aptitude au suivi et au contrle
capacit d'anticipation et de prvision
aptitude au travail par projet
force de proposition
aptitude la pdagogie
aptitude l'apprentissage
Comportements professionnels motivations :
excellent relationnel
disponibilit
coute
rigueur et mthode
sens du travail en quipe
ractivit
I
FO
autonomie
motivation pour la nouveaut technologique
intgrit ;
confidentialit ; L E
disponibilit ; E
non rpudiation ;
N
authentification ;
I O
continuit du service
R S
et sur les textes lgaux en vigueur.
V E
Dans cette maquette, nous prsentons les recommandations destines aux utilisateurs dans
deux chapitres scurit des accs au systme et utilisation du systme .
LA
Chaque entit juridique et/ou biologiste responsable pourra sinspirer des items dcrits dans
ces chapitres, les complter ou les modifier en fonction de son organisation et des outils
informatiques mis disposition du personnel afin dlaborer sa propre charte dutilisation
intgre son systme qualit.
Ces recommandations peuvent tre intgres au contrat tabli entre biologiste responsable
et le service informatique des tablissements de sant.
INTRODUCTION
Nous conseillons de faire un rappel des textes lgaux auxquels sont soumis les
personnels des laboratoires de biologie mdicale, parmi lesquels :
La loi n78-17 relative l'informatique, aux fich iers et aux liberts du 6 janvier 1978
(plus connue sous le nom de loi informatique et liberts de 1978) ;
N
lutilisateur suivant est dconnect de la session prcdente.
2) Utilisation du systme
R O
T
a) Utilisation courante des ressources informatiques
Interdiction dutiliser les ressources informatiques en dehors du cadre professionnel ;
C
Utilisation exceptionnelle des fins personnelles rgie par le rglement intrieur, de
L
mme que les utilisations abusives. E
b) Usurpation didentit E
N
Interdiction de masquer son identit ou dusurper lidentit de toute autre personne ;
O
Obligation de signaler les tentatives daccs anormales ou les anomalies constates.
I
R S
c) Donnes dautrui et confidentialit
Interdiction de lire, copier, modifier ou dtruire des donnes de tiers, sauf autorisation
V E
du ou des dtenteurs ;
Interdiction dintercepter des communications.
LA
d) Respect du droit des personnes et de lordre public
Interdiction de porter atteinte la vie prive dautrui par tout procd ;
Utilisation ou diffusion de limage (photos, enregistrement vido ou audio)
uniquement avec le consentement crit de la personne ou du responsable lgal pour un
mineur ;
Les donnes personnelles, quand elles existent, doivent tre clairement identifies
comme telles.
g) Utilisation de la messagerie
Interdiction douvrir la pice jointe dun e-mail de provenance incertaine ;
Interdiction de cliquer sur un lien reu par messagerie provenant de personnes ou de
sites inconnus ;
Obligation de suivre les recommandations de la CNIL (fiche pratique "donnes de
sant, email et fax", ...) en particulier lutilisation de la messagerie scurise ;
Les e-mails personnels doivent tre clairement identifis comme tels.
I
h) Tlchargement et installation de logiciels
FO
Le laboratoire est quip dantivirus, de pare-feu et de filtres bloquant certains sites et mots
cls.
I T
lvitement :
F A
Toutefois, le systme de protection nest pas invincible et la scurit la plus sre est
responsable informatique ;
U E
Interdiction de tlcharger des logiciels ou des fichiers sans lautorisation du
- pornographie, pdophilie ;
T
- extrmismes politiques et religieux ;
- terrorisme, racisme ; C
L E
- drogues, substances illicites ;
- piratage informatique, jeux en ligne ;
- E
N
i) Antivirus
I O
Interdiction de dsactiver et/ou de dsinstaller les logiciels antivirus ;
S
Interdiction de modifier le paramtrage du logiciel antivirus.
R
V E
j) Sauvegardes
La sauvegarde des fichiers personnels (lorsquils sont autoriss) est sous la
LA
responsabilit de lutilisateur ;
La sauvegarde des donnes situes sur le serveur est sous la responsabilit du
responsable informatique ;
Les autres sauvegardes (automates, poste de travail, ) doivent tre excutes par
des utilisateurs dsigns. Ces utilisateurs devront sassurer de lintgrit des donnes
sauvegardes et de leur conservation.
Engagement de lutilisateur
Je soussign(e) :
Demeurant :
Exerant la fonction de :
Fait : ,
I T
A
En deux exemplaires dont un est remis lutilisateur et lautre conserv par le laboratoire.
F
Signature de lutilisateur : E
Signature du responsable du laboratoire :
U
I Q
9.4 Annexe 4 : exemples de formulaires de paramtrage
N
Exemple n 1 : Expression du besoin
R O
Partie rserve au demandeur
T
EC
Expression du besoin : Date :
EL
N
I O
S
Biologiste demandeur ou autre avec fonction :
R
V E
Nom de lexamen ou du bilan :
LA
Sous-Domaine (ex Hmatocytologie) / Famille (ex : Hmostase / COAGBM) :
Code(s) nomenclature(s) :
C
Inscription dans une connexion automate ou liaison extrieureT
Inscription sur une tiquette de prlvement SECONDAIRE N _ _ _ _ _ _ _
R S
3 / Logiciel Manuel de prlvement : Vrification d'impact
V E
4 / Logiciel(s) de diffusion de rsultats : Vrification d'impact
5 / Logiciel MW : Vrification d'impact
LA
6 / Logiciel(s) SIH : Vrification d'impact
8 / VALIDATION DU PARAMETRAGE
J'atteste avoir ralis une analyse de risque, une revue du paramtrage et une Date
vrification du dossier(s) test. Bon pour mise en exploitation.
Nom et signature du Biologiste Responsable
F
modifis
Demande
I Q
Site demandeur BIO N
R O
Biologiste demandeur BIO
C T
Analyse transmise un labo
extrieur
BIO
L E Oui Non
R S BIO
Sous chapitre :
V E Identification
LA
Code dappel de lexamen SI
Vrification si distinction de
technique par site : Code SI
dappel de production
Rangement
Contrle daccueil
Excution
I
Labo excutant (si transmis) BIO
FO
Contexte de ralisation BIO Local Autre : . I T
Dlai de ralisation BIO ..... jours F A
Jours de ralisation BIO Lu Ma Me Je Ve Sa Di U E
I Q
Facturation
N
Facturation immdiate BIO Oui
R O Non
T
EC
Cotation extrieure
SI Oui Non
(si transmis)
EL
Acte : rf ..
Code nomenclature / nbre B BIO
Nombre de B ..
N
Nombre lments :..
I O NOM lment
S CODE lment Numrique / Texte cod
ER
Dtermination des diffrents
BIO 1-
lments composants lanalyse
2-
V 3-
..
Oui Non
Code nature chantillon BIO
N ou libell : .
Numrique
texte cod
Type de rsultat BIO
calcul (Formule) : .
autres : ............................
Mini :
Bornes pathologiques extrmes BIO Police 10 gras
Maxi :
Validation Biologique
(bornes propres au labo au del
BIO
Enfant : Min
Femme : Min
Max
Max I
FO
desquelles il y a demande de
Homme : Min Max
validation biologique
Normales ENFANT :
I T
Normes
Rfrences (normales/ par sexe
ou tranche d'ge ...) Normales FEMME : F A
Il est obligatoire de mettre
L E
E
Normales HOMME :
N
Noter le libell exact de la technique (avec
Recopier exactement le
R S
(obligatoire pour la saisie
manuelle)
V E
Nom du ou des automates
Nom
..
de
Non
LA
BIO
Si OUI :
Si transit par MW
A dcider avec le resp du
Code test : .
Code du test MW (code identique dans le
MW et dans ce champ) :
BIO Si ( nom automate ) :
Code : ..
demander au fournisseur de
N de la mthode dans le canal :
lautomate)
..
Oui Non
Dclenchement de Texte cod BIO Si OUI : prciser les tranches numrique et le
texte cod correspondant
U E
Si lment de type Si lment de type texte cod Formule de calcul
I Q
BIO N Faire contrler la formule par
excel ou calculette et garder
SI
Formule :
R O la preuve de lexactitude du
calcul dans le SIL
C T
Excution
E
Double saisie BIO
N Oui Non
I O
Premire unit
R S BIO
Deuxime unit
V E BIO
LA
Facteur de conversion
BIO
(si deuxime unit)
Compte-rendu
Conservation
Oui Non
Conservation de lexamen en
BIO Si Oui : contexte de conservation
chantillothque
Nom de lchantillothque :
Matrice ddition
Recopier toujours la
Matrice texte (modle) SI matrice imprimable
(pour rapport de fax)
I
FO
Mettre dans la matrice
Matrice tableau SI
tableau
Bilans
I T
Cette analyse appartient elle
un bilan ?
SI
Oui Non
Si oui rajouter la nouvelle analyse dans le bilan
F A
Attention, les bilans ne sont
pas historiss
concern
Spcialit : .
R O
Liaison extrieure SI C T
Oui Non
N Attention : le code de
I O communication par
dfaut est communiqu
Avertissement
V E des
correspondants en connexion
SI Liste des correspondants concerns :
Corres 1
Enlever le code
communication
lancienne analyse
de
de
LA
Corres 2 Enlever dans la table
Corres N connexion la ligne de
lancien code
Paramtrage MW
Resp
Gnralits Oprateur : Date
MW
Resp
examen reu par le MW Oui Non
MW
Oprateur saisie :
SI
n du dossier : .././.- .-
I
FO
Vrif : CR Mdecin BIO Oui Non
I T
Impr Cotation dans demande
SIL
SI Oui Non
F A
Vrif Rsultats FAX SI Oui Non
U E
Vrif connexion/liaison SI Oui NonI Q
N
Vrif : fiche identification patient SI Oui
R O
Non
T
EC
Vrif feuille de scu SI Oui Non
EL
Vrif : bon de transmission si
SI Oui Non
besoin
Feuille de secteur si
N
PAILLASSE
Bactrio
/ LECTEUR
I O SI Oui Non
S
ER
Accord et signature de mise en
SI
service
Accord et
V
signature
responsable du service
du
BIO
LA
Transmettre les infos pour le bio
responsable du site internet et
du guide des examens
BIO
I
Donnes formates (lisibilit accrue)
FO
I T
F A
U E
I Q
N
R O
C T
L E
E
N
I O
R S
V E
LA
I
FO
I T
F A
U E
I Q
N
Traabilit de la vrification de la connexion
R O
C T SIL
L E
E
SIL SIL
N SIL
S IO SIL
R SIL
SI
VE
L
LA
I
FO
I T
FA
U E
I Q
N
R O
T
Exemple de rgles dexpertise
C
Patient test 1
L E Patient test 1
E
N
I O
RS
V E
LA
I
Fichier de traces de la connexion
FO
I T
F A
U E
MIDDLEWARE
I
FO
SIL
I T
5
SIL
Base Rplique
FA
SIH
U E
I Q
Cartographie du systme (Etapes et connexions informatiques des gaz du sang)N
R O
Patient test 1
C T
L E Patient test 1
Patient test 1
E
N
I O
R S
V E
LA
Patient test 1 Patient test 1
1 numration
2 Saisie manuelle du rsultat de la numration
rsultat
U E
Le dossier passe en validation biologique
Le dossier est prvisualis dans un format
OK
OK
EC
6 d'evoi de la messagerie crypt OK
EL
A noter que contrairement aux tests dintgration, les tests de non rgression peuvent
tre automatiss avec des logiciels robots qui reproduisent toujours les mmes
squences utilisateur.
N
I O
R S
V E
LA
I
FO
I T
FA
U E
I Q
Analyseu Analyseu Analyseu Analyseu N
r3
R O
r1 r2 r4
N
I O
Systme(s) vrifi(s) :
o Automate :
S
o SIL :
o Serveur de rsultats :
R
o Liaison :
V E
o SIH Donnes administratives :
o Autres interfaces :
Numros des demandes dexamens vrifies
LA
Rgles mises en jeu vrifies (Prciser le nom des rgles et le systme) :
Biologiste responsable :
La gestion des risques est dfinie par le guide 73 de lISO comme lensemble des activits
coordonnes visant diriger et piloter un organisme vis--vis du risque. La finalit de la
gestion de risque peut se dcomposer en trois tapes :
- Amliorer la scurisation des systmes dinformation ;
I
FO
- Justifier le budget allou la scurisation du systme dinformation ;
- Prouver la crdibilit du systme dinformation laide des analyses effectues.
I T
Le guide 73 de lISO value un risque par la combinaison de la probabilit dun vnement et
de ses consquences. Une quation RISQUE = MENACE * VULNRABILIT *
F A
IMPACT est couramment reconnue dans ce domaine, les termes de cette quation tant
dfinis ainsi :
sensible du systme) ; U E
- La menace est la source du risque (par exemple lattaque possible dun lment
I Q
- La vulnrabilit est la caractristique dune partie du systme constituant une
faiblesse ou une faille au regard de la scurit ;
N
- Limpact reprsente la consquence du risque sur lorganisme et ses objectifs.
R O
Il existe de nombreuses mthodes utilises pour estimer et matriser les risques li aux
systmes d'information.
Exemples : C T
L E
AMDEC = Analyse des Modes de Dfaillance et de leurs Effets Critiques
EBIOS = Expression des Besoins et Identification des Objectifs de Scurit
(ANSSI) E
N
OCTAVE = Operationally Critical Threat, Asset, and Vulnerability Evaluation
I O
MARION = Mthode d'Analyse de Risques Informatiques Oriente par Niveau
MEHARI = Mthode Harmonise d'Analyse des Risques
R S
Globalement, elles proposent de :
V E
1) Dfinir le primtre de lanalyse de risques
LA
Il sagit didentifier les activits mtier, les intervenants, les lments technologiques et
dinfrastructure du LBM et ventuellement les patients, qui doivent tre prises en compte.
Cette tape initiale dfinie aussi les biens essentiels protger, par exemple les donnes
patients, les traitements ayant une influence directe sur la qualit du service rendu par le
LBM ses patients et ses prescripteurs, les donnes de production, de paramtrage,
La cartographie est un point de dpart essentiel lidentification de failles potentielles du
systme :
- matrielles (locaux, serveurs ou terminaux critiques, rseau, ) ;
- logicielles (BDD, hbergement, protections, redondances, interfaces, rseau,
scurit, ) ;
- humaines (oprateurs, utilisateurs, gestionnaires, protection, hirarchisation accs,
) ;
- organisationnelles.
U E
3) Estimer la probabilit de la ralisation dun risque et son niveau dimpact
I Q
Il est dusage daffecter une cotation chacun des critres identifis prcdemment afin de
N
les combiner avec un indicateur facilitant la prise de dcision. Mme sil existe dans la
R O
littrature des seuils dcisionnels pour ce type dindicateur, ils sont spcifiques la mthode
employe. En pratique ils sont le plus souvent fixs empiriquement par le LBM.
C T
4) Consolider les lments de lanalyse et laborer le plan dactions
L E
Une vue synoptique des lments collects lors des phases 1, 2 et 3 ci-dessus est obtenue
en construisant un tableau du type matrice risque/criticit (Cf. tableaux ci-dessous).
E
Le plan daction rsulte finalement dun arbitrage entre les cots potentiels et le bnfice
N
attendu en matire de maitrise des risques. Cet arbitrage est du ressort de la direction qui en
garde la trace.
I O
S
Le plan de continuit dactivit rsulte de lanalyse de risques ou intgre celle-ci.
R
V E
Proposition des tableaux permettant de formaliser lanalyse par sous-processus,
lvaluation et la cotation du risque et de la criticit, ainsi que les ventuels moyens de
LA
maitrise envisags dans le cadre de la structuration des moyens de maitrise (cellule
informatique, politique de gestion, ) :
IT
sous causes concernant le => cotation 2 R=M*F*D*C n'avoir qu'un Idem
processus issu pouvant sous Frquent = 3 Difficile = 3 Moyenne = 3 seul document
FA
de la entrainer une processus Dfaillance donc compris
cartographie dfaillance envisag Bloquante Systmatique Indtectable Eleve = 4 entre 2 et 256
=> cotation 4 =4 =4
Exemples de processus concern par la mthode MARION
U E
Exemples de processus concern par la mthode MEHARI
la scurit organisationnelle
la scurit physique
l'entit
le site
I Q
la continuit de service les locaux
N
l'organisation informatique
la scurit logique et l'exploitation
R O
les applicatifs
les services offerts par les systmes et l'infrastructure
la scurit des applications
C T le dveloppement
la production informatique
EL
Exemples de cause de dfaillance par la mthode MARION Exemples de cause de dfaillance par la mthode MEHARI
Accidents physiques / Malveillance physique une seule cause :
Panne du SI
Carence de personnel / Carence de prestataire N => erreur
=> malveillance
Interruption de fonctionnement du rseau
I O => accident
Erreur de saisie / Erreur de transmission
Erreur d'exploitation
R S une seule consquence :
=> atteinte la disponibilit
Erreur de conception / dveloppement
Vice cach d'un progiciel
V E
Indiscrtion / dtournement d'information / Attaque logique du rseau
=> intgrit,
=> confidentialit
=> service
LA
Dans tous les cas, il faut lister les processus et sous-processus, puis envisager les causes et consquences potentielles avant den estimer le risque et
de dcider des moyens mettre en uvre pour ramener ce risque un niveau acceptable en fonction des possibilits et de la politique du LBM
U E 4 48
Log / MDP
/
dictionnaires
saisies param.
(Accs ouvert)
paramtrage
2 1 1
I Q 4 8 Action OK
critiques
Carence de 2 4 3 N 4 96 /
personnel / Mauvais
de prestataire paramtrage
R O Formation RI
CT
(Incomptence) 2 1 1 4 8 Action OK
Vice cach NA
Etc...
L E
Analyse base sur la mthode MARION
E
Processus organisation de linformatique , sous processus matrises des paramtrages , voire gestion des fichiers sensibles avec un cut off choisit
N
24 par le LBM => un plan daction est mis en place au-dessus de 24, et il est considr que les actions sont efficaces si lestimation repasse en dessous du cut
I O
off . Le LBM sattachera hirarchiser les diffrents processus et sous-processus en fonction des modes de dfaillances envisags et inversement.
R S
V E
LA
Organisation
Malveillance
physique
matriel /
logiciel 4 1 1 1
F A 4
Scurisation
locaux
Action OK
gnrale
Erreur
dexploitation E
Estimer dans un ou plusieurs autres processus moins gnraux (comme ci-dessous par exemple)
U
Vice cach NA
I Q
Etc
N
Erreur
dexploitation / Invalidation
2 2
R O 3 4 48
Log / MDP
/
saisies param.
(Acces ouvert)
paramtrage
2 1
C T 1 4 8 Action OK
Gestion Carence de 2
E
4 3 4 96 /
EL
Mauvais
fichiers personnel / Formation RI
paramtrage
sensibles ou de prestataire 2 1 1 4 8 Action OK
dictionnaires
critiques MAJ logicielle
Modif
2 N 2 2 3 24
Cf. autres sous
comportement
I O processus
Vice cach
Etc...
NA
R S
Gestion des
transferts de
MAJ SIL,
MW,
Modif
V
comportement
E 4 3 3 3 108
Gestion des
versions et Etc.
donnes traa des MAJ
Fusion de
structures et
harmonisation
Fusion BDD
LAMlanges
donnes
4 3 3 4 144
Procdure +++
Accs Etc
restreints +++
des outils
IT
validation biologique et intgrable Revalidation des rgles et
Nouvelles O Gestion renseignements cliniques dans le SAVB commentaires automatiss
FA
Modifies N NA
Dbugue N
Champs dans la base Ajout
Suppression
Modification
N
N
N U E
I Q
Gestion du dossier clinique du Connexion et gestion SAVB
Tables dans la base Ajout O Table GEST_CLIN_PAT
N
patient Commentaires automatiss
Suppression
Modification
N
N
R O
Relations / Liaisons Tables Modification O
T
DOSS_PAT et GEST_CLIN_PAT
E
Combine cl unique DOSS_PAT et laccueil vrifier (bonne prise en
EL
GEST_CLIN_PAT la cration du compte des RC dans les dossiers et
Gestion "multi CLEUNIK" Modification O dossier patient du jour les rsultats vus en VB)
Connections automates Ajout N
Suppression N
N
Liaison HPRIM/MED/WEB
Modification
Ajout
N
N
I O
Suppression
Modification
R
N
O S
Utilisation "briques externe" Windows
Linux
V E N
N
LA
Mac N
Autres (tablettes) N
Post Script Imp. N
10 BIBLIOGRAPHIE
Rfrences rglementaires
I T
comptence. NF EN ISO 22870 (AFNOR).
F A
Analyses de biologie dlocalises (ADBD) Exigences concernant la qualit et la
Documentation Cofrac U E
I Q
Document Cofrac SH REF 02, "Recueil des exigences spcifiques pour l'accrditation des
laboratoires de biologie mdicale". N
R O
Publications
C T
L E
Descriptif standardis "Robotique et automatisation du laboratoire" - Annales de
Biologie Clinique - Volume 68 - Numro spcial Janvier 2010
E
Anne Gruson (Arras) Coordonnateur et les membres du groupe de travail : Bernard
N
Capolaghi, Pierre Carayon, Annette Chamson, Philippe Chatron, Genevive Dedieu, Philippe
Derache, Grard Desch, Franck Fernandez, Anne Gruson, Damien Gruson, Dominique
I O
Khenfer, Jean-Claude Maury, Bernard Poggi, Michel Sorel, Jean-Jacques Taris.
R S
Descriptif standardis "Middleware" - Annales de Biologie Clinique - Volume 70 -
V E
Supplment 1 - Novembre 2012
Anne Gruson (Arras) Coordonnateur et les membres du groupe de travail : Thierry
Blanchard, Bernard Capolaghi, Pierre Carayon, Rgine Cartier, Philippe Chatron, Genevive
LA
Dedieu, Philippe Derache, Grard Desch, Bruno Gauthier, Anne Gruson, Jean-Claude
Maury, Yvan Monneret, Bernard Poggi, Michel Sorel, Jrme Soucheleau, Jean-Jacques
Taris.
Sites internet