Qu’est-ce que le principe de prudence et quelle est sa place en gestion de risque informationnel dans la santé ?

Le principe de prudence, un concept philosophique, trouve ses origines dans les vertus d’Aristote (Aubenque, 1963) et de son maître Platon (Giroux, 2002). Pour Aristote, le phronesis (traduit en latin par Cicéron par prudentia) encadre toutes les vertus de l’Homme sage (Lecours,2003; Aubenque, 1963). Bien que la sagesse conseille la réserve dans certaines situations, elle exige l’action dans d’autres. La capacité de faire le bon choix in situ devient une question de vertu. L’acteur individuel sage et vertueux, moulé par l’habitude, le mentorat et l’expérience, démontre sa prudence dans les jugements concrets faits dans l’action lors de circonstances spécifiques pour éviter l’injustice intentionnelle. Il choisit avec discernement les moyens appropriés aux finalités véritablement bonnes pour lui, comme individu, mais surtout pour l’ensemble des résidents de la cité (Aristote, cité dans Aubenque, 1963).

Dans la tradition chrétienne, le principe de prudence se retrouve dans les écrits d’Ambroise de Milan (Saint Ambroise), Augustin d’Hippone (Saint Augustin) et Thomas d’Aquin (Saint Thomas d’Aquin). Dans son Summa Theologica, (II,I,61), Thomas d’Aquin déclare que la prudence est l’une des quatre vertus cardinales, avec la justice, la fortitude et la tempérance.

Dans l’ère moderne, le bien individuel prends l’avant-scène sur le bien commun. Au début de la révolution industrielle, Adam Smith (Smith,1853) décrit la prudence comme une vertu qui concerne l’individu, sa santé, sa fortune, son rang et sa réputation. Smith présente la prudence comme la vertu parcimonieuse du banquier qui commande le respect sans amour ou admiration. Chez Kant, la prudence perd son statut de vertu pour s’identifier avec l’intérêt personnel, la raison morale excluant les préférences et les bénéfices personnels. L’action moralement correcte existe, selon Kant, quand, par volonté pure, l’acteur individuel s’impose une loi morale raisonnable à l’encontre du désir ou de l’avantage personnel. Dans cette perspective, l’action est considérée plus méritoire quand l’inclination est sciemment contrecarrée. Plusieurs théoriciens contemporains arguent d’un déclin de la prudence par un passage de la vertu comme sagesse pratique d’Aristote au profit de l’approche Kantienne (Uyl,1991; Dunne,1997; Gadamer,1975; MacIntyre,1984; Nussbaum,1986; Zagzebski,1996 dans Kane,2006).

Par exemple, l’application du principe de prudence de Smith pourrait suggérer qu’un mensonge est pardonnable, même nécessaire, quand les conséquences de dire la vérité vont à l’encontre du désir ou de l’avantage personnel, alors qu’en appliquant la position de loi morale de Kant (Kane, 2006) le mensonge, dans n’importe quelle circonstance, est proscrit. Cependant, ces deux visions sont très loin de la position d’Aristote pour qui la vertu n’est jamais la simple application de lois universelles impersonnelles. Dans une application du point de vue aristotélicien, le mensonge peut se justifier s’il est dans l’intérêt général de la cité et des ses habitants.

Dans le domaine de la gestion organisationnelle, une position Kantienne du comportement règlementé s’avère attrayante pour la gouvernance des organisations. Cependant, le quotidien des organisations est caractérisé par le changement et l’incertitude. Les situations réelles auxquelles font face les organisations ne sont jamais tout à fait identiques. Ainsi, l’application au quotidien d’une éthique soutenue par des règles invariables devient difficile à mettre en œuvre. Dans toute circonstance donnée, la décision vertueuse, doit prendre en considération de multiples dimensions, dont les règles, les principes, les conventions applicables, les sensibilités et les intérêts des individus et des organisations affectées. Dans plusieurs champs d’activités, les individus et les organisations affectés se retrouvent au-delà du périmètre de la prise de décision. Il devient donc nécessaire de ce questionner sur quelle approche de la prudence, celle d’Aristote, de Thomas d’Aquin, de Kant ou des autres penseurs, trouve son application dans la prise de décision dans nos organisations modernes qui souhaite être vertueuses ou être perçues comme telles. Dans la situation qui nous concerne dans cet article, c’est-à-dire dans les décisions sur le risque associé à la gestion de l’information, ou risque informationnel, dans le domaine de la santé, la prise de risques indus pourra entrainer des conséquences négatives (morbidité, mortalité, perte de qualité de vis) pour les individus ou les populations concernés. La position adoptée a une influence sur les décisions.
Une des premières mises en œuvre du principe de prudence dans le domaine de la santé nous proviens de Thomas Snow qui a fait enlever le robinet d’une fontaine à Londres afin de réduire la transmission du Choléra à Londres (Broad Street) en 1854. Cet épisode marque la naissance de l’épidémiologie.

Prudence ou précaution ?

Le principe de prudence est différent du principe de précaution. Utilisé d’abord en Allemagne à la fin des années 1960 dans le cadre de législation environnementale puis repris dans la Déclaration de Rio au Sommet de la Terre de 1992, le Vorsorgeprinzip ou principe de précaution, est un principe juridique d’action publique qui autorise les pouvoirs publics à prendre les mesures nécessaires pour faire face à des risques non avérés, mais éventuels (Larrère et Larrère,2000). Le principe de prudence s’applique aux risques avérés, démontrés ou connus. Bien que la distinction entre la vertu philosophique (prudence) et le principe, essentiellement juridique, d’action (précaution) tend à s’estomper dans l’opinion publique et dans certains textes, il s’agit de deux concepts différents qu’il est important de distinguer. C’est par principe de prudence que l’acteur individuel agira avec précaution. Dans cet article il est question du principe de prudence.

La place de la prudence en gestion de risque informationnel dans la santé

La gestion est la mise en œuvre de tous les moyens humains et matériels d’une organisation pour atteindre les objectifs préalablement fixés (Office québécois de la langue française,2006) par des actes visant une transformation du monde réel par le travail, la médiation ou l’instrumentation (Dejours,1995). La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d’assurer leur pérennité (Watkins,2003) et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l’encontre de l’atteinte de ses objectifs ou qui produisent des résultats négatifs. En sécurité de l’information, la norme internationale ISO 17799 recommande aux organisations d’identifier les risques sont le plus significatifs pour elles (Norme ISO17799:2005). Ainsi, la gestion de risque est l’une des composantes d’une gestion prudente. C’est-à-dire que, sachant qu’il existe la possibilité qu’ils se produisent des aléas, dysfonctions ou événement, susceptible de réduire l’utilité attendue, soit de nuire à l’atteinte efficace des objectifs, le gestionnaire, en tant qu’acteur individuel vertueux, doit tenir compte du risque. Ainsi, une première application du principe de prudence en gestion de risque informationnel est qu’il faille faire de la gestion de risque.
Fondamentalement, la gestion du risque comprend les processus d’identification des menaces, de l’ordonnancement de celles-ci et de la mobilisation de ressources afin de les traiter adéquatement (Watkins,2003). Ces processus sont accomplis par des activités d’identification des risques, d’évaluation du risque et de traitement du risque (Hancock,2002;Alberts,1999;Schumacher,1997). En particulier, l’identification et l’évaluation du risque peuvent être influencé par l’appétence au risque, à des biais de nature psychosociaux, à facteurs culturels et à d’autres forces qui peuvent influencer la perception des variables, de l’attribution de valeur à ces viables et de leur importance relative. L’acteur individuel vertueux devra agir avec prudence dans le choix des variables et de leur mesure. Il devra être rigoureux afin d’identifier l’ensemble des variables. Il devra mettre en place des mesures pour s’assurer de la validité internet et externe dans l’approche qu’il prendra pour opérationnaliser ces processus de gestion de risque. Ces processus s’apparente aux règles de scientificité appliquée en recherche. Nous identifierons ces éléments comme une seconde application du principe de prudence en gestion de risque: rigueur et scientificité.

Dans le cas d’une organisation du secteur de la santé, les objectifs de l’organisation incluent les respects de règles, de lois et de normes qui contiennent des provisions relatives aux informations. Qu’il s’agisse de données concernant les patients, de dossiers cliniques, de résultats de tests, de données populationnelles ou de d’autres données de nature médicale, il y a une pléthore de codes de déontologie d’ordres professionnels, de lois sur la santé, de loi sur l’accès, de traités et des accords (e.g. Helsinky) qui trouvent leur application. Ainsi, dans le contexte de la santé, la gestion du risque informationnel doit prendre en compte , entre autre, la confidentialité, l’intégrité et la disponibilité de l’information.
Une troisième application du principe de prudence en gestion de risque: lorsqu’il ne peut déterminer la probabilité d’occurrence d’un aléa, avec un niveau raisonnable de confiance, l’acteur individuel vertueux doit fonder ses estimations sur la base d’avis d’experts, de données probantes et des meilleures connaissances scientifiques.
Dans la même veine, une quatrième application du principe de prudence en gestion de risque: lorsqu’il ne peut déterminer l’impact résultant d’un aléa ou d’une dysfonction avec un niveau raisonnable de confiance, que les connaissances actuelles sont insuffisantes pour déterminer l’impact ou qu’il existe une doute raisonnable qu’il puisse y avoirs des impacts, même à long terme, ou qu’il s’agisse d’une nouvelle situation, par exemple l’utilisation d’une nouvelle technologie, l’acteur individuel vertueux doit fonder ses estimations sur la base d’avis d’experts, de données probantes et des meilleures connaissances scientifiques.

Finalement, comme cinquième application du principe de prudence en gestion de risque: dans le doute, l’acteur individuel vertueux doit prendre toutes les mesures raisonnables pour réduire l’impact ou préférer l’abandon d’un projet à une prise de risque inopiné.

Bibliographie

Aubenque, P. (1963) La prudence chez Aristote, Presses universitaires de France, Paris

Diderot, D. et als. (1777) Encyclopédie, ou dictionnaire raisonné des sciences, des arts et des métiers, par une société de gens de lettres, Pellet, Imprimeur libraire rue des Belles Filles, Genève, disponible en ligne: http://portail.atilf.fr.ezproxy.usherbrooke.ca/encyclopedie/Formulaire-de-recherche.htm accédé le 6 avril 2010.

Kane, J.(2006)In search of prudence : The hidden problem of managérial reform, Public Administration Review, Volume 6, Issue 5, P 711-724

Giroux, L., Giroux, N. (2002) De la prudence : étude du Charmide de Platon, Éditions du renouveau pédagogique, Saint-Laurent, Québec
Smith, A.(1853), 6, 14)

Larrère, C. et Larrère, R. (2000) Les OGM, entre hostilité de principe et principe de précaution, Cités n° 4, PUF

Lecours, D. (2003) OGM: Un tour d’horizon complêt, Futura Sciences, accédé en ligne le 9 avril 2010, http://www.futura-sciences.com/fr/doc/t/genetique/d/ogm-un-tour-dhorizon-complet_223/c3/221/p4/

The attributes of risk in healthcare

The attributes of risk

Risk in informations systems is generally perceived in relation to attributes. proposes the attributes of confidentiality, integrity and availability, aswell other attributes such as authenticity, accountability, non-repudiation and reliability may also be involved [ISO 17799]. [Zhou, 1999] proposes confidentiality, integrity, availability, non repudiation and authentification. We present here some definitions.

Confidentiality

Confidentiality is the property that information is not made available or disclosed to unauthorized individuals, entities, or processes.1 Confidentiality exists when information is communicated in the context of a special relationship (such as doctor-patient, lawyer-client, etc.) where the information is intended to be held in confidence or kept secret [CIHR, 2002]. It is an ethical concept that regulates communication of information between individuals [Roger, 1998]. The status of confidential is accorded to data or information indicating that it is sensitive for some reason, and therefore it needs to be protected against theft, disclosure, or improper use, or both, and must be disseminated only to authorized individuals or organizations with a need to know.’2Individuals have a right to the privacy and confidentiality of their health information [Buckovich, 1999].

Confidentiality is at the heart of medical practice and is essential for maintaining trust and integrity in the patient-physician relationship. Knowing that their privacy will be respected gives patients the freedom to share sensitive personal information with their physician [WMA, 2002]. The Declaration of Geneva, that requires physicians to « preserve absolute confidentiality on all he knows about his patient even after the patient has died » [WMA, 2002].

Confidentiality is a managerial responsibility: it concerns the problems of how to manage data by rules that are satisfactory to both the managers of data banks and the persons about whom the data pertain [Thompson, 2001]. The enforcement of classification-clearance matching is mandated by directives and regulations: an individual may not exercise his own judgement to violate it [Bell, 1976]. In the same way, as health professionals do not belong to the same structures, which are independent to each other, confidentiality of the activity of each structure must be ensured as well [Kerkeri, 2001]. In [Pace, 2003], confidentiality is maintained by de-identifying reports and eliminating elements within the database that would facilitate linking a report to a specific event identified by other means, such as through the patient’s medical record.

Integrity

Integrity is the property of safeguarding the accuracy and completeness of assets [ISO 13335-1]. Integrity is a property determined by approuved modification of information [Bell, 1976].

Individuals have the right to the integrity of their health information. Entities and/or persons that create, maintain, use, transmit, collect, or disseminate individual health information shall be responsible for ensuring this integrity [Buckovich, 1999].

Continuity of care might imply a complete communication of medical data, respecting its integrity and its availability [Roger, 1998]. For example, in a picture archiving and communication system (PACS), the data integrity is essential for passing the correct information to the doctor [Tsong, 2003].

Outside of signing checksums on large fields (such as medical images), integrity can only be partially guaranteed by authenticating the individual at the source site responsible for transferring the information, and trusting the individual to verify the data [Cody, 2003].

Data integrity includes minimization of data redundancy, improvement of data maintenance, and elimination of multiple versions of data [Candler, 1999].

In addition to malicious threats, the threats that come from software, hardware, or network failure, or the threats that come from simple human error can affect the integrity of an information system [Cody, 2003].

Availability

Availability is the property of being accessible and usasable upon demand by an authorized entity (ISO 7498-2:1989).

The availability of intelligently integrated and verified, operational information could have a profound effect on decisionmaking in a wide range of contexts [Brender, 1999]. Health research, particularly in the areas of health services and policy, population and public health, critically depends on the ready availability of existing data about people [CIHR, 2002].

Non repudiation

Non-repudiation refers to the ability to prove an action or event has taken place, so that this event or action cannot be repudiated later.3

[ISO13888-1] identifies the following non repudiation services:

  • Non repudiation of creation: to protect against an entity’s false denial of having created the content of a message.

  • Non repudiation of delivery: to protect against a recipient’s false denial of having received the message and recognised the content of a message.

  • Non repudiation of knowledge: to protect against a recipient’s false denial of having taken notice of the content of a received message.

  • Non repudiation of origin: to protect against the originator’s false denial of having approved the content of a message and of having sent a message.

  • Non repudiation of receipt: to protect against a recipient’s false denial of having received a messagenon-repudiation of sending: This service is intended to protect against the sender’s false denial of having sent a message.

  • Non repudiation of submission: to provide evidence that a delivery authority has accepted the message for transmission.

  • Non repudiation of transport: to provide evidence for the message originator that a delivery authority has delivered the message to the intended recipient.

Non-repudiation technologies, such as digital signatures, are used to insure that a person performing an action cannot subsequently deny performing that action. This is useful for digital contracts, statements and anywhere else that a signature would be used in the physical world. Digital signatures are commonly used for non-repudiation, and are normally based on PKI, which uses asymmetric cyphers [Helvey, 2004].

Digital signature safeguards can provide protection to enable non-repudiation [ISO 13335-2].

Cryptographic techniques (e.g. based on the use of digital signatures) can be used to prove or otherwise the sending, transmission, submission, delivery, receipt notification, etc. of messages, communications and transactions [ISO 13335-2].

Access controls

Access control technologies are used to protect information by restricting access to information or operations, according to the identity of the accessor. Common mechanisms for access control are discretionary (DAC), mandatory (MAC), and role-based (RBAC). DAC is based on the identity or group membership of the user, and allows the user to specify which other users may access the information. MAC is common in secure operating systems, and uses labels and access control lists to protect information. RBAC allows access control policies to be defined according to the user’s role in an organization, such as administrator, supervisor, researcher, and so on [Helvey, 2004].

Health care organisations have knowingly compromised information security through less than satisfactory access controls simply in order to encourage all staff to use the computer systems. Once such compromise has been adopted, it is subsequently very difficult to convince users of the need to strengthen access control..Once appropriate access control and auditing is installed, staff scepticism soon turns to acceptance as they come to realise their importance and benefit [Gaunt, 2000].

In a HIPAA mandated PACS environment, from an application point of view, there should be a log mechanism to keep track the access information such as [CAO, 2003]:

  • Identification of the person that accessed this data

  • Date and time when data has been accessed

  • Type of access (create, read, modify, delete)

  • Status of access (success or failure)

  • Identification of the data.

The model for authorisation and access control in distributed health information systems has to deal with policy description and negotiation including policy agreements, authentication, certification, and directory services but also audit trails, altogether forming the privilege management infrastructure [Blobel, 2004].

Technology can help ensure the granting and restriction of access to those users with legitimate needs, by means of passwords, access codes, and other identifying mechanisms [Buckovich, 1999].

Privacy vs security

The right to privacy entitles people to exercise control over the use and disclosure of information about them as individuals. The privacy of a patient’s personal health information is secured by the physician’s duty of confidentiality [WMA, 2002].

Privacy is a social, cultural and legal concept, all three aspects of which vary from country to country [Thompson, 2001]. While security of personal data may be instrumental for this purpose, ‘data security is a very different thing from privacy’.4

Privacy: ‘‘The right of individuals to be left alone and to be protected against physical or psychological invasion or the misuse of their property. It includes freedom from intrusion or observation into one’s private affairs, the right to maintain control over certain personal information, and the freedom to act without outside interference.’’5

Information privacy can be thought of as a set of controls placed upon organizations over the uses of personal information in their custody and control, and the rights conferred upon individuals over their personal information. What becomes clear in mapping out these security and privacy elements is that some of the components of privacy protection can be addressed by security safeguards, while others cannot. Some security functions may actually hinder or even threaten necessary privacy protection. Some privacy measures may weaken or threaten justified security measures.Hence the security–privacy paradox [Cavoukian, 2003].

The Declaration of Helsinki states: « It is the duty of the physician in medical research to protect the life, health, privacy, and dignity of the human subject » [WMA, 2002].

A recurring idea is that a research database of patient data can and should be ‘‘scrubbed’’ of personal identifying information, and thereafter the ‘‘clean’’ database can be made available for research on a less restricted basis.

[Behlen, 1999] argues that such complete scrubbing is not feasible, and even if it were feasible, it would not be appropriate ethically. A troublesome requirement for exemption is that of ‘‘throwing away the key’’ that links data to a patient. This requirement presents some practical, scientific, and ethical problems:

  • It forecloses the possibility of benefit to the patient.;

  • The requirement greatly complicates the maintenance of a current database;

  • The requirement eliminates some checks against scientific fraud.

Quality of data is crucial to privacy protection. Security is necessary, but far from sufficient, to ensure privacy. Computer scientists and others often take ‘privacy’ to mean (only) ‘data security’ against risks of unauthorized access, physical damage to databases or transmissions, and the like. However, it is no comfort to a privacy-aware individual to be told that inaccurate, outdated, excessive and irrelevant data about her are encrypted and stored behind hacker-proof firewalls until put to use by (say) a credit-granting organization in making decisions about her [Raab, 2004]. Following intense scrutiny in some research projects, it may be necessary to conduct an independent reanalysis of the data and results to confirm the quality of the original data [Shortreed, 2003].

Privacy of information collected during health care processes is necessary because of significant economic, psychologic, and social harm that can come to individuals when personal health information is disclosed [Barrows, 1996].

Privacy and confidentiality of the patient record has attracted extensive debate and analysis, including discussion of research. Although policy issues regarding research access to public health databases have been analyzed in detail, less attention has been paid to the problem of how to oversee and administer, within the framework of applicable public policy, multicenter research using privately held patient records. In addition to public policy, the policies of each participating institution must be considered [Behlen, 1999].

The relationship between health care provider and patient is one characterized by intimacy and trust, and confidentiality is embedded at least implicitly in patient-provider interactions. The notion of confidentiality in health care has a strong professional tradition that has suffered progressive erosion due to thirdparty reimbursement schemes, managed care and other health care organizational structures, and the perceptions and culture of professionals within modem health care systems. One third of medical professionals have indicated that information is given to unauthorized people “somewhat often”. [Barrows, 1996]

Ethical issues in healthcare database risk management

Clinical research must be done in the utmost respect of ethical concerns [Beecher, 1966].The rights to privacy and confidentiality are intimately connected with the right to respect for one’s dignity, integrity and autonomy are constitutionally enshrined in the Canadian Charter of Rights and Freedoms and Quebec’s Charter of Human Rights and Freedoms [CIHR, 2002]. Privacy and confidentiality lie at the root of international and national ethics guidelines, as well as professional codes of deontology [CIHR, 2002] [CIHR, 2004]. They are the principal drivers of the requirement for adequate treatment of risk in healthcare organisations [Senate, 2002]. Legal uncertainty also makes it difficult for consumers to be aware of and understand their privacy and confidentiality rights [Buckovich, 1999].

The core principles at the heart of Canadian privacy legislation form the basis of the Canadian Standards Association [CSA, 2003] Model Code for the Protection of Personal Information are [CIHR, 2004], this with [WMA, 1994] [WMA, 1995] [WMA, 2002] [Buckovich, 1999] [CIHR, 2004], identifies the following areas of risk that need to addressed in a CDW:

  • Policies

  • Confidentiality;

  • Privacy;

  • Integrity;

  • Availability

  • Safeguards;

    1. Limiting Collection

    2. Management controls;

    3. Processes to enable Challenging Compliance; and

    4. De-identification of data;

    5. Secure transmission of data;

    6. Accountability;

  • Openness;

    1. Informed consent;

    2. Identifying Purposes;

    3. Access to information by patients (right to withhold, segregate, amend and copy);

    4. Limiting Use, Disclosure, and Retention;

    5. Full disclosure (No secret databases shall exist);

    6. Non-commercial use (No medical record shall be sold, utilized for marketing purposes without the prior informed consent of the individual);

  • Documentation and training

This is in accord with the requirements of the declarations of Lisbon [WMA, 1995], Geneva [WMA, 1994], Helsinki [WMA, 2002], as well as [Belmont, 1979] [Helsinky, 1964] [Nuremberg, 1949] [Harkness, 2001].

Challenge: The selection and categorization of the different areas of risk that comprise the overall risk and areas of threats that should be considered in the implementation and use of a clinical data warehouse.

This would be a significant improvement when compared to the commonly used approaches that are mainly concerned with confidentiality, integrity and availability. This would also be better suited to the identified requirements that we have found in literature.

Combining the requirements

If we put this in the form of a table, the requirements could be represented as:

Risk Requirement category

Stakeholder category

Confidentiality

Integrity

Availability

Privacy

Policies

Openness

Safeguards

Documentation and training

Patients

1, 14, 35, 54, 57, 58, 60

7, 47, 66

2, 3, 4, 8

1b, 5, 6, 9, 11, 38, 39

14, 29, 30, 35, 36, 37

24, 50

49

Data users

53,

7b, 64, 65, 69, 70

72

13

40, 43

17, 18, 19, 35

19, 24, 42, 44, 45, 75, 76, 77, 78, 79, 80, 81, 82, 84

25, 48

Healthcare organisations

14, 33, 54, 56, 60, 61

7b, 66

9, 10, 12, 13

26, 40, 61

14, 15, 16, 17, 18, 29

24, 50, 87

25, 48, 51

Healthcare professionals 32, 58, 59, 62 46 73 9, 59 33 31, 33 32 25
Professional associations 13 52 25
Healthcare industry 13 26 15, 16

Insurers

13, 20

26

15, 18,

Government

13

26

15, 16, 18, 22, 29

28, 50

48

NGOs and Community groups

13

26

Educational

74

13

41

17

IT staff 34, 56, 60, 61, 63 7b, 66, 69, 71 10 26, 40, 61 35 19, 23, 24, 27, 34, 83, 85, 86, 88, 89, 90 25, 48

IT industry

15

Other

21

The requirements presented in this table were identified in our literature review a complete list of the requirements with the references are presented in Annex a.

Challenge: further work could identify additional requirements that have been missed, further analysis may be needed. As well the list of stakeholders and the categorization of stakeholder groups requires validation.

1 [ISO/IEC 7498-2] as described in [ISO 1335-1]

2 American Society for Testing and Materials Committee E31 on Healthcare Informatics, Subcommittee E31.17 on Privacy, Confidentiality, and Access. Standard guide for confidentiality, privacy, access, and data security principles for health information including computer-based patient records. Philadelphia, Pa.: ASTM, 1997:2. Publication no. E1869-97. As cited in [Buckovich, 1999]

3 (ISO/IEC 13888-1:1997; ISO IS 7498-2:1989) as defined in [ISO 13335-1]

4 Calvin C. Gotlieb. Privacy: A Concept Whose Time Has Come and Gone, In D. Lyon and E. Zureik, editors, Surveillance,

Computers and Privacy, pp. 156–171. University of Minnesota Press, Minneapolis, 1995 as cited in [Thompson, 2001]

5 American Society for Testing and Materials Committee E31 on Healthcare Informatics, Subcommittee E31.17 on Privacy, Confidentiality, and Access. Standard guide for confidentiality, privacy, access, and data security principles for health information including computer-based patient records. Philadelphia, Pa.: ASTM, 1997:2. Publication no. E1869-97. As cited in [Buckovich, 1999]

La gestion de risque des données cliniques

Par MarcAndré Léger, DESS, MscA (MIS)

CRED, Faculté de Médecine, Université de Sherbrooke

Introduction

Les Données cliniques

Un Dossier de Santé Électronique (DSÉ) est défini comme un dépôt d’information qui concerne la santé d’un sujet de soin, un patient, dans une forme traitable par les technologies de l’information (TI), emmagasinée et transmis et accessible par de multiple utilisateurs autorisés[1]. L’importance émergente du DSÉ de même que l’augmentation dans le informatisation d’autres activités du système de santé, y compris l’administration et la recherche, génère progressivement de grandes quantités de données à propos des patients, de la livraison de soin de santé et de la recherche biomédicale[2]. Les DSÉ utilisent de plus en plus des données de format multimédia, agrégés dans des dépôts de données cliniques (DDC) et des entrepôts de données cliniques (EDC) par beaucoup d’établissements de santé[3].

Les entrepôts de données (ED) sont une collection de technologies de soutien à la prise de décision, permettant aux décideurs (cadres, directeurs et analystes) de prendre de meilleur décisions plus rapidement[4]. Les ED contiennent des données consolidées de plusieurs bases de données opérationnelles et ont tendance à être des ordres de magnitude plus volumineuses que les bases de données, souvent d’une taille dans les centaines de gigaoctets et même les téraoctets. Typiquement, les ED sont maintenus séparément des bases de données opérationnelles de l’organisation parce les besoins  analytiques et les conditions d’exécution sont tout à fait différentes de ceux-là de bases de données opérationnelles. Les entrepôts de données existent principalement pour les applications de soutien à la prise de décision et fournissent des données historiques, résumées et consolidées pour en faciliter l’analyse détaillé[5]. Un EDC est un système informatique qui fonctionne comme un dépôt (l’entrepôt) de données de santé, provenant de sources différentes y compris le DSÉ, qui reflète ensemble les processus d’affaires d’une organisation de santé, ou de plusieurs organisations reliées, par exemple dans une structure régionale[6]. L’EDC peut être considéré, dans sa conception, distinct d’un DSÉ opérationnel. Les données, rendues accessibles par un portail unique, deviennent un EDC.

Les ED permettent à l’industrie de la santé d’accumuler et assimiler l’information de données de sources nombreuses (eg. laboratoire, pharmacie, radiologie, administration) et les rendre disponible pour la prise de décision[7]. Un EDC peut contenir l’information et la connaissance qui peut améliorer significativement les soins, réduire les erreurs médicales, améliorer les mesures de qualité, faciliter la recherche cliniques et augmenter l’efficacité organisationnelle[8]. L’EDC a démontré des avantages importants aux divers groupes d’ayants cause[9]. Les ayants cause sont composés des catégories:

  • Malades
  • Utilisateursde données
  • Organisationsde santé
  • associationsprofessionnelles
  • les professionnels des TI
  • Industrie de la santé
  • assureurs
  • Gouvernement
  • les organisations non gouvernementales et la Communautaires
  • les établissements d’eisengnement et de recherche médicale
  • l’industrie des TI

Risque

Le risque est défini la combinaison de la probabilité d’un événement et sa conséquence[10]. Le risque est naturel, une force qui résulte des pressions de l’environnement[11]. Partout où il y a une occasion pour le changement, il y a un risque. Dans le risque il y a la notion de discontinuité souvent a associé avec les désastres et les issues imprévu[12]. Une organisation doit identifier les activités où les risques sont le plus significatif pour elle[13]. Ceci pourrait être motivé par plusieurs facteurs tels que ses devoirs légaux, les attentes de ses ayants cause ou pour d’autres raisons considérées significatives par les dirigeants d’une organisation.

Une organisation peut observer le risque d’un point de vue organisationnel mais aussi par rapport à une activité, un système informatique ou un processus d’affaires. Elle peut aussi observer le risque par rapport aux données géré et utilisées dans une organisation. Qu’elle que soit la façon que l’organisation choisisse pour l’observer, le risque existant est la sommes des divers risques qui sont présents. Chaque risque individuel exige la présence d’une menace ou de plusieurs menaces qui ont quelque probabilité de se concrétiser et avoir un effet négatif par rapport à l’issue anticipée.

Les attributs de risque

Le risque dans les systèmes d’informations est généralement perçu en relation à des attributs. Les attributs de confidentialité, d’intégrité et de disponibilité, ainsi que d’autre attribus tel que l’authenticité, la responsabilité, non-répudiation et la fiabilité pourrait être aussi impliquée. Nous présentons ici quelques définitions.

La confidentialité

La confidentialité est la propriété que cette information n’est pas mise à la disposition ou dévoilé aux individus inautorisé, aux entités, ou aux procédés.La confidentialité existe quand l’information est communiquée dans le contexte d’une relation spéciale (tel que le médecin-malade, l’avocat-client, etc.) où l’information est projetée être tenue dans la confiance ou gardé secrète [CIHR, 2002]. C’est un concept éthique qui règle la communication d’information entre les individus [Roger, 1998]. Le statut de confidentiel est accordé aux données ou à l’information indiquant que c’est sensible pour quelque raison, et donc il a besoin d’être protégé contre le vol, la révélation, ou l’usage déplacé, ou les deux, et doit être seulement disséminé aux individus ou aux organisations autorisées avec un besoin de savoir. Les individus ont un droit à la protection des renseignements personnels et la confidentialité de leurs informations de santé[14]. La confidentialité est au coeur de pratique médicale et est essentiel pour maintenir de confiance et l’intégrité dans la relation de patient-médecin. Savoir que leur intimité sera respectée donne aux patients la liberté de partager l’information personnelle sensible avec leur médecin[15]. La Déclaration de Genève exige des médecins de conserver la confidentialité absolue sur tout ce qu’il sait de son patient même après son décès[16].

La confidentialité est une responsabilité de gestion: elle concerne les problèmes de gestion des données par des règles qui sont satisfaisantes aux gestionnaires de banques de données et aux personnes auxquelles les données se rapportent[17]. L’accès est autorisé en fonction d’une classification qui est rendue obligatoire par des directives et des règlements: un individu ne peut pas exercer son propre jugement pour la violer[18]. De même, comme les professionnels de la santé appartiennent à des structures organisationelles différentes, qui sont indépendantes l’une de autre, la confidentialité de l’activité de chaque structure doit être aussi assuré[19]. La confidentialité est maintenue par des données dénominalisés et l’élimination d’éléments dans la base de données qui faciliterait un lien à un événement spécifique identifié par d’autres moyens, tels que par le DSÉ.

Intégrité

L’intégrité est la propriété de protéger la précision et la plénitude de biens [ISO 13335-1]. L’intégrité est une propriété résolue par la modification de approuved d’information [Cloche,1976].

Les individus ont la droite à l’intégrité de leur information de santé. Les personnes de et/ou d’entités qui créent, maintient, l’usage, transmettre, recueille, ou disséminer l’information de santé individuelle sera responsable d’assurer cette intégrité [Buckovich, 1999].

La continuité de soin pourrait impliquer une communication complète de données médicales, respectant son intégrité et sa disponibilité [Roger, 1998]. Par exemple, dans une image archivant et le système de communication (PACS), l’intégrité de données est essentielle pour passer l’information correcte au médecin [Tsong, 2003].

L’extérieur de signe checksums sur les grands champs (les images telles que médicales), l’intégrité partiellement peut être seulement garantie en authentifiant l’individu au site de source responsable de transférer l’information, et fier l’individu pour vérifier les données [Cody, 2003]. L’intégritéde données inclut la minimisation de redondance de données, l’amélioration d’entretien de données, et l’élimination de versions multiples de données [Candler, 1999]. En plus des menaces malveillantes, les menaces qui viennent du logiciel, le matériel, ou l’échec de réseau, ou les menaces qui viennent de l’erreur humaine simple peuvent affecter l’intégrité d’un système informatique [Cody, 2003].

Disponibilité

La disponibilité est la propriété de données d’être accessible et utilisable sur demande par un utilisateur autorisée (ISO 7498-2:1989).La disponibilité d’informations complètes, vérifiée et opérationnelle peut avoir un effet significatif sur les décisions dans une grande variété de contextes[20]. La recherche de santé, particulièrement dans les secteurs de services de santé et de politique, la population et la santé publique, dépend d’une manière critique de la disponibilité prête de données existantes des gens [CIHR, 2002].

Non-répudiation

Non-répudiation se réfère à la capacité à prouver une action ou l’événement a eu lieu, pour que cet événement ou cette action ne peut pas être nié plus tard.[4]

[ISO13888-1] identifie le suivre les services non-répudiation :

  • Non-répudiation de création : protéger contre un démenti de l’entité faux d’ayant créé le contenu d’un message.
  • Non-répudiation de livraison : protéger contre un démenti du bénéficiaire faux d’ ayant reçu le message et a reconnu le contenu d’un message.
  • Non-répudiation de connaissance : protéger contre un démenti du bénéficiaire faux d’ ayant pris la notification du contenu d’un message reçu.
  • Non-répudiation d’origine : protéger contre le démenti du créateur faux d’ ayant approuvé le contenu d’un message et d’ayant envoyé un message.
  • Non-répudiation de reçu : protéger contre un démenti du bénéficiaire faux d’ ayant reçu une messagenon-répudiation d’envoi : Ce service est projeté pour protéger contre le démenti de l’expéditeur faux d’ayant envoyé un message.
  • Non-répudiation de soumission : fournir de la preuve qu’une autorité de livraison a acceptée le message pour la transmission.
  • Non-répudiation de transport : fournir de la preuve pour le créateur de message qu’une autorité de livraison a livrée le message au bénéficiaire voulu.

Les technologiesnon-répudiation, signatures telles que numériques, sont utilisées pour assurer qu’une personne exécutant une action ne peut pas nier par la suite exécuter cette action. Ceci est utile pour les contrats numériques, les déclarations et n’importe où d’autre qu’une signature serait utilisée dans le monde physique. Les signatures numériques sont ordinairement utilisées pour non-répudiation, et sont normalement basé PKI, qui utilise des chiffres asymétriques [Helvey, 2004].

Les garantiesnumériques de signature peuvent fournir la protection pour rendre capable non-répudiation [ISO 13335-2].

Les techniquescryptographiques (par ex. a basé l’usage de signatures numériques) peut être utilisé pour prouver ou autrement l’envoi, la transmission, la soumission, la livraison, la notification de reçu, etc. de messages, les communications et les transactions [ISO 13335-2].

L’accès contrôle

Les technologiesd’accès de contrôle sont utilisées pour protéger l’information en limitant l’accès à l’information ou les opérations, selon l’identité du accessor. Les mécanismes communs pour le contrôle d’accès sont discrétionnaires (DAC), obligatoire (MAC), et rôle-basé (RBAC). DAC est basé l’adhésion d’identité ou groupe de l’utilisateur, et permet à l’utilisateur pour spécifier quels autres utilisateurs peuvent accéder à l’information. MAC est commun dans les systèmes d’exploitation assurés, et les étiquettes d’usages et les listes de contrôle d’accès pour protéger l’information. RBAC permet contrôle à l’accès politiques être définies selon le rôle de l’utilisateur dans une organisation, telle que l’administrateur, le directeur, le chercheur, et ainsi de suite [Helvey, 2004].

Les organisations de soinde santé ont compromis sciemment la sécurité d’information par moins que les contrôles d’accès satisfaisants simplement afin d’encourager tout personnel pour utiliser les systèmes informatiques. Une fois tel compromis a été adopté, c’est par la suite très difficile à convaincre des utilisateurs du besoin de fortifier le contrôle d’accès.. approprie une fois le contrôle et vérifier d’accès sont installés, le scepticisme de personnel bientôt virages à l’acceptation comme ils viennent rendre compte leur importance et leur avantage [Creux, 2000].

Dans un HIPAA a rendu obligatoire l’environnement de PACS, d’un point de vue d’application, il doit y avoir un mécanisme de journal de bord pour tenir note l’information d’accès telle que [CAO, 2003] :

  • L’identification de la personne qui a accédé à ces données
  • La date et le temps quand les données ont été accédées à
  • Le type d’accès (crée, a lu, modifie, efface)
  • Le statut d’ accès (le succès ou l’échec)
  • L’identification des données.

Le modèle pour le contrôle d’autorisation et accès dans les systèmes informatiques de santé distribués a à traiter la description de politique et la négociation y compris les accords de politique, l’authentification, la certification, et les services d’annuaire mais aussi les analyses rétrospectives, formant entièrement l’infrastructure de direction de privilège [Blobel, 2004].

La technologie peut aider assure que l’octroi et la restriction d’accès à ces utilisateurs avec les besoins légitimes, au moyen des mots de passe, accèdent à des codes, et l’autres identifier mécanismes [Buckovich, 1999].

la protection des renseignements personnels contre la sécurité

La droite à la protection des renseignements personnels autorise des gens pour exercer le contrôle par-dessus l’usage et la révélation d’information d’eux comme les individus. la protection des renseignements personnels d’une information de santé du malade personnel est obtenue par le devoir du médecin de confidentialité [WMA, 2002].

la protection des renseignements personnels est un concept social, culturel et légal, tous trois aspects que dont varie du pays au pays [Thompson, 2001]. Pendant que la sécurité de données personnelles peut être instrumentale à cet effet, ‹ la sécurité des données est une chose très différente de la protection des renseignements personnels ›.[5]

Intimité : ‹ ‹ La droite d’individus être partie seul et être protégée contre l’invasion physique ou psychologique ou l’usage impropre de leur propriété. Il inclut la liberté de l’intrusion ou l’observation dans une affaires privées, la droite pour maintenir le contrôle par-dessus la certaine information personnelle, et la liberté pour agir sans hors de l’intervention ›. › [6]

la protection des renseignements personnelsd’information peut être pensée de comme ensemble de contrôles placés sur les organisations par-dessus les usages d’information personnelle dans leur garde et de contrôle, et les droits ont conféré sur les individus par-dessus leur information personnelle. Que s’éclaircit dans tracant ces éléments de sécurité et intimité sont que certains des composants de protection d’intimité peuvent être adressés par les garanties de sécurité, pendant que les autres ne peuvent pas. Quelques fonctions de sécurité peuvent freiner en fait ou peuvent menacer même la protection d’intimité nécessaire. Quelques mesures d’intimité peuvent affaiblir ou peuvent menacer mesure.donc de sécurité justifié la sécurité–le paradoxe d’intimité [Cavoukian, 2003].

La Déclaration d’états d’Helsinki : « C’est le devoir du médecin dans la recherche médicale pour protéger la vie, la santé, la protection des renseignements personnels, et la dignité du sujet humain » [WMA, 2002].

Une idée reproduisant est qu’une base de données de recherche de données patientes peut et devrait être frotté d’identifier l’information personnelle, et par la suite le nettoyer la base de données peut être mise à la disposition pour la recherche sur un moins de base limité.

[Behlen, 1999] Se dispute que tel frotter complet n’est pas faisable, et même si cet étaient faisable, il ne serait pas approprié moralement. Une condition pénible pour l’exemption est cela de ‹ ‹ jetant la clef › › cela relie des données à un malade. Cette condition présente quelques problèmes pratiques, scientifiques et éthiques :

  • Il saisit la possibilité d’avantage au malade. ;
  • La condition complique fort l’ entretien d’une base de données actuelle ;
  • La condition élimine quelques contrôles contre la fraude scientifique.

La qualité de données est cruciale à la protection d’intimité. La sécurité est nécessaire, mais loin de suffisante, pour assurer la protection des renseignements personnels. Les informaticiens et les autres prennent souvent l’ « intimité » pour signifier (seulement) la « sécurité des données » contre les risques d’accès non autorisé, les dommages physiques aux bases de données ou les transmissions, et l’aimé. Cependant, pas c’est de confort à un individu intimité-conscient être dit que les données inexactes, démodées, excessives et sans pertinence d’elle sont crypté et sont emmagasinées derrière les cloisons pare-feu de pirate informatique-preuve jusqu’à ce qu’a mis pour utiliser par (dit) une organisation de crédit-accordant dans faire de décisions d’elle [Raab, 2004]. L’examen minutieux intense suivant dans quelques projets de recherche, ce peut être nécessaire de diriger une nouvelle analyse indépendante des données et de résultats pour confirmer la qualité des données originales [Shortreed, 2003].

la protection des renseignements personnels d’information a recueilli pendant les procédés de soin de santé est nécessaire à cause de significatif économique, psychologic, et le mal social qui peut venir aux individus quand l’information de santé personnelle est dévoilée [Barrow, 1996].

la protection des renseignements personnels et la confidentialité du rapport patient ont attiré le débat et l’analyse vastes, y compris la discussion de recherche. Bien que les problèmes de politique en ce qui concerne l’accès de recherche aux bases de données de santé publiques ont été analysés en détail, moins d’attention a été payé au problème de comment surveiller et administrer, dans le cadre de politique publique applicable, la recherche de multicenter utilisant les rapports de malade privément tenus. En plus de la politique publique, les politiques de chaque institution participant doivent être considérées [Behlen, 1999].

La relation entre le fournisseur de soin de santé et le malade est un caractérisé par la protection des renseignements personnels et la confiance, et la confidentialité est enfoncée au moins implicitement dans les interactions de patient-fournisseur. La notion de confidentialité dans le soin de santé a une tradition professionnelle forte qui a souffert l’érosion progressive en raison des arrangements de remboursement de thirdparty, le soin géré et l’autre soin de santé structures organisationnelles, et les perceptions et la culture de gens de métier dans les systèmes de soin de santé de modem. Un tiers de gens de métier médicaux a indiqué que cette information est donnée aux gens inautorisés « un peu souvent ». [Barrow, 1996]

Les problèmeséthiques dans les services médicaux de données risquent la direction

La rechercheclinique doit être faite dans le respect extrême d’inquiétudes éthiques [Beecher, le ]. de 1966 Les droits à la protection des renseignements personnels et à la confidentialité sont intimement connectés avec la droite pour respecter pour une dignité, une intégrité et une autonomie sont constitutionnelment enchâssé dans la Charte canadienne de Droits et Charte de Libertés et Québec de Droits et les Libertés Humaines [CIHR, 2002]. la protection des renseignements personnels et la confidentialité couchent à la racine d’aux indications d’éthique internationales et nationales, de même que les codes professionnels de déontologie [CIHR, 2002] [CIHR, 2004]. Ils sont les chauffeurs principaux de la condition pour le traitement suffisant de risque dans les organisations de services médicaux [le Sénat, 2002]. L’incertitude légale le fait aussi difficile pour les consommateurs à être conscient de et comprend leurs droits d’intimité et confidentialité [Buckovich, 1999].

Les principes fondamentaux au coeur de législation d’intimité canadienne forment la base de l’Association de Normes canadienne [CSA, 2003] le Code de Modèle pour la Protection d’Information Personnelle est [CIHR, 2004], ceci avec [WMA, 1994] [WMA, 1995] [WMA, 2002] [Buckovich, 1999] [CIHR, 2004], identifie les secteurs suivants de risque qui a besoin d’à adressé dans un CDW :

  • Politiques[a12]
  • confidentialité ;
  • Intimité ;
  • Intégrité ;
  • Disponibilité
  • Garanties ;
    1. Collectionlimitant
  • La direction contrôle ;
  • Les procédés pour rendre capable Défiant la Conformité ; et
  • La d’-identification de données ;
  • Obtenir la transmission de données ;
  • Responsabilité ;
  • Franchise ;
    1. Consentementinformé ;
  • Butsdistinctifs ;
  • Accéder à à l’information par les malades (la droite pour retenir, séparer, modifier et copier) ;
  • L’Usagelimitant, la Révélation, et la Rétention ;
  • La révélationpleine (Aucunes bases de données secrètes existeront) ;
  • L’usagenon-commercial (le rapport Non médical sera vendu, sera utilisé pour mettre sur le marché de buts sans le consentement informé préalable de l’individu) ;
  • Documentation et entraînement

Ceci est d’accord avec les conditions des déclarations deLisbonne [WMA, 1995], Genève[WMA, 1994],Helsinki [WMA, 2002], de même que [Belmont, 1979] [Helsinky, 1964] [Nuremberg,1949] [Harkness, 2001].

Défi : La sélection et la catégorisation des secteurs différents de risque qui comprend le risque et les secteurs généraux de menaces qui devraient être considérées dans l’implémentation et l’usage d’un entrepôt de données clinique.

Ceci serait une amélioration significative quand en comparaison des approches ordinairement utilisées qui sont principalement concernées avec la confidentialité, l’intégrité et la disponibilité. Ceci serait aussi meilleur adapté aux conditions identifiées que nous avons trouvé dans la littérature.

Combiner les conditions

Si nous mettons ceci sous forme d’une table, les conditions pourraient être représentées comme :

Risquer la catégorie de Condition

Catégoriede parieur

confidentialité Intégrité Disponibilité Intimité Politiques Franchise Garanties Documentation et entraînement
Malades 1, 14, 35, 54, 57, 58, 60 7, 47, 66 2, 3, 4, 8 1b, 5, 6, 9, 11, 38, 39 14, 29, 30, 35, 36, 37 24, 50 49
Utilisateursde données 53, 7b, 64, 65, 69, 70 72 13 40, 43 17, 18, 19, 35 19, 24, 42, 44, 45, 75, 76, 77, 78, 79, 80, 81, 82, 84 25, 48
Organisationsde services médicaux 14, 33, 54, 56, 60, 61 7b, 66 9, 10, 12, 13 26, 40, 61 14, 15, 16, 17, 18, 29 24, 50, 87 25, 48, 51
Gens de métierde services médicaux 32, 58, 59, 62 46 73 9, 59 33 31, 33 32 25
Associationsprofessionnelles 13 52 25
Industrie de services médicaux 13 26 15, 16
Assureurs 13, 20 26 15, 18,
Gouvernement 13 26 15, 16, 18, 22, 29 28, 50 48
NGOs et la Communauté groupent 13 26
Educatif 74 13 41 17
IL équipe 34, 56, 60, 61, 63 7b, 66, 69, 71 10 26, 40, 61 35 19, 23, 24, 27, 34, 83, 85, 86, 88, 89, 90 25, 48
IL l’industrie 15
Autre 21

Les conditions présentées dans cette table ont été identifiées dans notre littérature réexamine une liste complète des conditions avec les références est présentée dans l’Annexe a.

Le défi  : plus le travail pourrait identifier des conditions supplémentaires qui ont été manquées, la plus ample analyse pourrait être eu besoin de. Aussi la liste de ayants cause et la catégorisation de groupes de parieur exige la validation.

Gestion du risque informationnel

Les organisations ont besoin d’identifier le prévisible [Watkins, 2003] exécuter optimaly, avec la régularité, progressivement. Ils ont besoin de gérer le risque. Fondamentalement, la Gestion de Risque entoure trois procédés : La reconnaissance de menaces, priorization et la mobilisation de ressources (les procédés de TR/MIN) [Watkins, 2003]. Les méthodes formelles comme la façon la plus réussie pour appliquer le changement dans EST [Clarke, 1996], ceci soutient [LandwDSÉ, 1981], ces méthodes de Gestion de Risque formelles sont le meilleur cours d’actions pour les organisations. Gérer les risques dans le système informatique sont suprêmes au reportage financier précis et la provision d’information opportune et pertinente a exigé dans les organisations pour la prise de décision optimale [Stoneburner, 2002].

L’usage d’un modèle de sécurité abstrait est nécessaire, sans les modèles suffisants ce n’est pas possible de concevoir des systèmes assurés [Anderson, 1972]. Les méthodologies formelles de Gestion de Risque appliquent généralement les procédés de TR/MIN (la reconnaissance de menaces, priorization et la mobilisation de ressources) par les procédés formels d’évaluation de risque, risquer l’évaluation, et la réduction de risque [BS-7799-2] [Hancock, 2002] [ISO 13335-2] [Alberts, 1999] [Clusif, 2000] [Le Canada, 2004] [Léger, 2004] [la Trésorerie de HM, 2001] [GRC, 1994] [ISO 17799] [COSO,2003] [Schumacher, 1997]. L’objectif principal des méthodologies est d’équilibrer les coûts opérationnels et économiques de mesures de réduction de risque et atteint des avantages d’organisation en protégant Les systèmes et les données qui soutiennent leurs missions [Stoneburner, 2002] [Myerson, 1999].

Les quatre traitements possibles de risque sont [BS-7799- 2] [ISO 13335-2] :

Transférer le risque

par ex. l’assurance d’achat ou sous-traite

Eviter le risque

par ex. choisir de ne pas procéder ou appliquer

Accepter le risque

par ex. décider que le niveau de risque identifié est dans les capacités de tolerence d’une organisation

Adoucir le risque

par ex. appliquer les contrôles techniques de réduction de risque, tels qu’une cloison pare-feu

Figure 1 : Risquer les options de traitement

Par exemple, [ISO17799] ne définit pas de conditions exactes pour comment procéder, il exige qu’une organisation pour ait mis dans place un procédé formel pour identifier, quantifier et hiérarchiser des risques contre les critères et les objectifs pertinent à l’organisation. Ceci implique qu’une organisation doit définir premièrement que ces critères et les objectifs sont, exprimé par rapport aux sept attributs de risque (la confidentialité, l’intégrité, la disponibilité, non-répudiation, le contrôle des origines de données, les contrôles de l’origine d’accès d’utilisateur et les contrôles d’accès). Une fois ces objectifs ont été identifiés, l’organisation peut déterminer la présence d’une menace ou de plusieurs menaces (la reconnaissance de menaces) cela a quelque probabilité pour se concrétiser.

La probabilité qu’une menace peut concrétiser et la signification de l’impact pris ensemble, doit aider le priorizatize d’organisation ses options de traitement de risque, comme identifié dans la figure 1, et mobiliser des ressources comme exigé. [BS-7799- 2] [ISO 13335-2] [Alberts, le Sénat de ][ de 2000 de 1999][Clusif, de Le Canada, 2004] [Léger, 2004] [la Trésorerie de HM, 2001] [GRC, 1994] [ISO 17799] [COSO, 2003]

[ISO17799] Et [les BS 7799-2] exige que les résultats de procédés d’évaluation de risque dirigent l’organisation et aident le détermine des actions et des priorités appropriées. Il exige que les organisations pour aient mis dans les contrôles de direction d’endroit pour s’assurer que les risques sont adouci à un niveau acceptable tient compte de :

  • Objectifsorganisationnels ;
  • Les conditions et les contraintes de législation ;
  • Conditionsopérationnels et contraintes ;
  • Coûter par rapport aux risques est réduit, et restant proportionnel aux conditions de l’organisation ;
  • Le besoin d’équilibrer l’investissement contre le mal probablement pour résulter.

Un cadre de Gestion de Risque est une description d’une série spécifique organisationnelle d’activités fonctionnelles et de définitions associées qui définit le système de Gestion de Risque dans une organisation et la relation à la Gestion de Risque système organisationnel, il définit les procédés et l’ordre et chronométrant de procédés qui sera utilisé pour gérer des risques [Shortreed, 2003]. L’intégration d’un sur-aller procédés de TR/MIN, avec l’addition d’outils et d’accélérateurs, comprendre que nous définissons comme un Cadre de Gestion de Risque (RMF). Pour fournir les conditions complètes, nous shoul pour considérer les éléments inclus dans la liste ci-dessus mentionnée aux conditions présentées dans les conditions combinées ajournent, présenté à la page 15-16. RMF, tel que COBIT [COSO, 2003] ou ISMS [BS-7799-2], applique quelque forme de modèle d’amélioration de qualité continu a basé le Demming PDCA (ou PDSA) le modèle et inclut les indications de direction, un système de direction, quelque forme de procédé d’évaluation de risque et d’outils [Fulford, 2003]. Beaucoup d’entre ceux-ci a été utilisé dans les services médicaux [Collmann, 2003][Janczewski, 2002] [Tsong, 2003][Léger, 2004].

Risquer les conditions de direction dansservices médicaux[a15]

Selon [Barrow, 1996], les buts de sécurité d’information dans les services médicaux sont :

  • Pour assurer l’ intimité de malades et la confidentialité de données de soin de santé (l’empêchement de révélation inautorisée d’information)
  • Pour assurer l’ intégrité de données de soin de santé (l’empêchement de modification inautorisée d’ information)
  • Pour assurer la disponibilité de données de santé pour les personnes autorisées (l’empêchement de retenir inautorisé ou accidentel d’information ou de ressources)

Risquer la direction de Systèmes Informatiques de Services médicaux (LE SIEN), tel qu’un CDW, est généralement un sous-ensemble de Gestion de Risque de système informatique [Watson, 2004]. Le passé prépare nous avons exécuté [Léger, 2003] dans le système de services médicaux de Québec indique que ces techniques de Gestion de Risque pareilles sont utilisées. Les initiatives actuelles de normes [ISO 27799] promeuvent l’adaptation de normes existantes [ISO 17799] être utilisé dans les services médicaux internationalement. Nous sommes aussi conscients de normes pareilles de Gestion de Risque [les BS 7799-2][ISO 17799] est utilisé dans[a16][MAL17] Les services médicaux [Toyoda, 1998].

Les conditions pour la Gestion de Risque dans SON ou CDW est différent que ceux-là de Systèmes Informatiques de Direction (MIS) [Intendant, 2002][Kane, 1998]. [Buckovich, 1999] Les mentions que beaucoup d’organisations luttent pour développer des principes adressant la protection des renseignements personnels, la confidentialité, et la sécurité d’information de santé. Un mélange complexe de d’organisation, éthique, légal et conditions de deontological doivent être rencontrées dans LE SIEN [Demers, 2004] [le Coiffeur, 1998] [Behlen, 1999] [Blobel, 2000] [Buckovich, 1999] [Smith, 1998] [Boudreau, 2001] [CAI, 1992] [CAI, 2001] [CAI, 2002] [Wagner, 1999] [Freeman, 1999] [Toyoda, 1998]. Dans les environnements d’affaires la condition pour la sécurité est différente que la condition pour la protection des renseignements personnels [Cavoukian, 2002].

Utilisé inopportunement, un CDW peut causer éthique, la protection des renseignements personnels, les risques légales financières et même criminelles [le Meunier, 2002] [Blobel, 2000] [Snee, 2004] [Cody, 2003] [CIHR, 2002] [le Sénat, 2002]. Le sérieux dans la communication de parieur et la coopération à travers le complet cycle de vie[a18][7][MAL19] de[a20] les données de santé, commençant avec un consentement informé, pendant que respectant un droits de l’individu [Belmont, 1979] [Helsinky, 1964] [Nuremberg, 1949] [Harkness, 2001 ] (y compris la droite à la protection des renseignements personnels) est fondamental [Kerkri, 2001][Blobel, 2004] [CIHR, 2002], prévu par les ayants cause [Roger, 1998] et nécessaire dans la recherche clinique[Beecher, 1966][Helvey, 2004]. Deux des plus grands défis dans le procédé de planification du CDW desbribed dans [Wisniewski, 2003] accommodaient les mandats de sécurité et confidentialité d’agences régulatrices et obtenant des approbations institutionnelles.

Défi :Nous devons définir les composants principaux du cadre de Gestion de Risque, comment ils réagissent réciproquement avec les divers ayants cause et les groupes de parieur, identifier et avoir défini les procédés de directeur impliqués dans l’implémentation d’un procédé de TR/MIN et comment ceux-ci peuvent être modelés.

Les problèmes éthiques, et dans les problèmes d’intimité particuliers, ne sont pas adressé dans [a21] [MAL22]RMF actuel [Thompson, 2001]. La jurisprudence récente, dans Québec[8],Indique qu’en cas de la perte d’intimité, cela n’implique pas de dommages, l’impact financier pour une organisation est bas [Wellman c. Québec, 2002], cependant ceci peut changer[9]. Le risque de perte d’intimité (la protection des renseignements personnels risque) et le risque que les usages éthiques de données de santé (les risques Ethiques) a tendance à être underweighted[a23]. Comme ceux-ci sont underweighted, le résultat logique est que les risques Ethiques et les risques d’Intimité recevront moins d’attention.

Bibliographie

Référence Classe.
Anderson JG. La sécurité du rapport patient, électronique et distribué : une approche de cas-basé aux problèmes de politique distinctifs, le Journal International d’Informatique Médicale, 2002, demande 111–118 1
L’association d’Universités Médicales américaines, la Technologie d’Information Rend capable la Recherche Clinique, les Conclusions et les Recommandations d’une Conférence Subventionnée par l’Association d’Universités Médicales américaines avec la Subvention de la Fondation de Science Nationale, le 30-31 octobre, 2002 2
Alberts, Christophe J., 1999, la version de Cadre d’Octave 1,0, rapport technique,CarnegieMellon Université,2001, http://www.atis.org/tg2k/t1g2k.html 4
Bakker, l’Abdominal, l’Accès au contrôle de DSÉ et accès à un moment dans le passé : une discussion du besoin et une exploration des conséquences, le Journal International d’Informatique Médicale, 2004 3
Le coiffeur, le B, les données et la sécurité Patientes : un aperçu général, un journal international d’informatique médicale, aucun 49, 1998, demandent 19-30 1
Diminue, le D.W., Pappius, E., Kuperman, le G.J., Sittig, D., Burstin, H., Fairchild, D., Brennan, le T.A., Teich, le J.M., Les systèmes informatiques d’utilisation pour mesurer et améliorer la qualité, le Journal International d’Informatique Médicale, 1999, demande 115–12 2
Barrow, RC Fils, Clayton, PD, la protection des renseignements personnels, la confidentialité, et les rapports médicaux électroniques, le Journal de l’Association d’Informatique Médicale américaine, 1996, demande 139-148 2
Beecher, HK. L’éthique et la recherche clinique,Le Journal de Nouvelle-angleterre de Médecine, 1966,274: 1354–1360. 2
Behlen, Libéré M., Johnson, Stephen B., la Recherche de Rapports de Malade de Multicenter, le Journal de l’Association d’Informatique Médicale américaine, le Volume 6, Numéro 6, novembre/décembre 1999 1
Cloche, LE D.E., LaPadula, le L.J., Obtenir le système informatique : L’exposition unifiés et interprétation de multics, ASSEMBLER rapport à onglet 2997, le 1976 mars 2
Le Rapportde Belmont, Ethique, les Principes et les Indications pour la Protection de Sujets Humains de Recherche, La Commission Nationale pour la Protection de Sujets Humains de Recherche de andBehavioral Biomédicale, Le 18 avril, 1979 3
Berryman, Paul, Risquer l’Evaluation : Les Principes fondamentaux, le partielle de exigence de com de présenté de Mémoire verse l’obtention de la certification de GIAC de du de Certification d’Assurance d’Information Global, ,http://www.giac.org/Février 2002 4
Berndt, Donald J, Hevner, Alan R, Studnicki, James, Les données de Prise entreposent : le soutien pour la prise de décision de soin de santé de communauté, les Systèmes de Soutien de Décision, Vol 35, 2003, les pages 367– 384 3
Blobel, Bernd, Les trousses à outils avancées pour la sécurité de EPR, le journal International d’informatique médicale, aucun 60, 2000, demandent 169-175 2
Blobel, Bernd, le contrôle d’Autorisation et accès pour la santé électronique systèmes record, le Journal International d’Informatique Médicale, 2004 , demande 251—257 3
Boudreau, chrétien et la CAI, Etude sur l’inforoute de la santé au Québec : Les techniques de Enjeux, éthiques et légaux, documenter de réflexion, octobre 2001 4
Le Système de Direction de Sécurité d’Information de BS-7799-2:2002, Standardbritannique – la Spécification avec la Direction pour l’usage, le 2002 septembre 3
Buckovich, Suzy A. et al, Conduisant Vers Diriger de Principes : Un But pour la protection des renseignements personnels, la confidentialité, et la Sécurité d’Information de Santé, le Journal du Volume d’Association d’Informatique Médical américain 6 Mars Numéro 2/avr 1999, Demande 122-133 1
Burt, Dr. Brian A., LES DEFINITIONS DE RISQUE, le Département d’Epidémiologie, EcoledeSanté publique, UniversitédeMichigan, 2001 3
CSA (l’Association de Normes canadiennes), Modeler le Code pour la Protection d’Information Personnelle (Q830-96), 2003, http://www.csa.ca/standards/privacy/code/Default.asp?language=english 2
Chateauneuf, A., Wakker, P., Un Axiomatization de Théorie de Perspective Cumulative pour la Décision Sous le Risque, le Journal de Risque et l’Incertitude, 1999, demande 137-145 4
Cavoukian, A., Le Paradoxe de Sécurité-Intimité : Les problèmes, les Idées Fausses, et les Stratégies, UN Rapport Commun par le Commissaire d’Information et Intimité de Ontario et Deloitte & Touche, le Commissaire d’Information et Intimité de Ontario, le 2003 août, http://www.ipc.on.ca/docs/sec-priv.pdf 2
Chaudhuri, Surajit. Dayal Umeshwar, Un aperçu général de données entrepose et la technologie de OLAP, le Rapport de SIGMOD DE ACM, le Volume 26 Distribuent 1 le 1997 mars 2
Chaudhuri, S. ; Dayal, U. ; Ganti, V. La technologiede données pour les systèmes de soutien de décision, l’ordinateur de IEEE, le Volume 34, le Problème 12, décembre 2001, Demande le 48-55 2
CIHR (Canadien Les instituts de Recherche de Santé), Les indications pour Protéger d’Intimité et la confidentialité dans la Conception, la Conduite et l’Evaluation de Recherche de Santé : LES MEILLEURES PRATIQUES, LE BROUILLON DE CONSULTATION,le 2004 avril 2
CIHR (la Recherche de Santé de Institutesof canadienne), l’usage Secondaire d’information personnelle dans la recherche de santé : Les études de cas, l’Institut canadien de Recherche de Santé, le 2002 novembre 2
CLARKE, EDMUND M., VOLER, JEANNETTE M., les Méthodes Formelles : Directions de pointe et Futures, l’Informatique de ACM Examine, Vol. 28, No 4, le 1996 décembre, demande 626-643 2
Clusif, MEHARI, Frapper de la français d’informations de des de sécurité, le 2000 août 3
Cody, Patrick M, La Sécurité dynamique pour Partager de Rapport Médical, Soumis au Département d’Ingénieur Electricien et l’Informatique dans l’Accomplissement Partiel des Conditions pour les Degrés de Célibataire de Science dans l’Informatique et Organisant et le Maître d’Ingénierie dans l’Ingénieur Electricien et l’Informatique à l’Institut de Massachusetts de Technologie, Le 28 août, 2003 3
Collmann, Jeff, Alaoui, Adil, Nguyen, Dan, Lindisch, David, teleradiology Sûr : l’assurance d’information comme une méthodologie de planification de projet, la Science de Elsevier le Feuilleton de Congrès International 1256, 2003, demandent 809– 814 3
Commander Québec de du de à de d’accès, Le à de parents de minimales de Exigences la des de informatisés de dossiers de des de sécurité usagers du réseau de la santé et des entretient sociaux,Avril 1992 4
Québec de du de à de d’accèsde commission, le cadre du de concernant de Avis global de gestion sur la réseau de du de informationnels de actifs de des de sécurité de la santé et des entretient sociaux, décembre 2001 4
Commander Québec de du de à de d’accès, Diriger en matière de des de protection renseignements personnels dans le développement des systèmes à des ministères et les publics d’organismes,Décembre 2002 4
COSISS, Politique intérimaire du informationnels de actifs des de visant de sécurité du réseau de la santé et des entretient sociaux, Québec, 1999 4
COSO,Entreprise Risquer le Cadre de Direction, le Résumé Exécutif, Le comité de Subventionner d’Organisations de la Commission de Treadway, 2003 3
Damodaran, A., Les principes fondamentaux de risque, , 2001http://pages.stern.nyu.edu/~adamodar/ 2
Darlington, A., le Mastic, S., Whitworth, J., Comment sûr est assez sûr ? Une introduction pour risquer la direction, Présentée à L’Auberge d’Agrafe Société Actuarielle, le 2001 juin 3
Demers, DL., Fournier, F, Lemire, M, Péladeau, P, Prémont, le M-C et Roy, DJ, Le réseautage de de santé : Manuel verse la gestion des questionne éthiques et sociales, Montréal, le Centre de bioéthique, IRCM, 2004 2
Edwards, K., Théorie de perspective : Une Revue de Littérature, la Revue Internationale d’Analyse Financière, Vol. 5, No 1, 1996, demande 19-38 2
Einbinder, J. le s., Skiff, K.W.,Pates, R.D.,Schubart, J.R., Reynolds, le R.E., l’Etude de Cas : Un Entrepôt de Données pour un Centre Médical Académique, un JOURNAL DE DIRECTION D’INFORMATION DE SERVICES MEDICAUX, vol. 15, no 2, l’Eté 2001, demande 165-175 1
Freeman, P, Robbins, A. Le débat américain d’intimité de données de santé : Il y aura la compréhension avant la fermeture ? , Le Journal International d’Evaluation de technologie dans le Soin de Santé, 1999, demande 316-331. 3
Fulford, la Bruyère, Doherty, Neil F., L’application de politiques de sécurité d’information dans les grandes organisations de Royaume-Uni BASE : une investigation exploratoire, une Direction d’Information & la Sécurité Informatique, 2003, les pages 106-114 3
Canada de du de Royalede Gendarmerie, d’évaluation de Guide de la menace et des risques verse les technologies des de, Novembre 1994 4
Glaessner, T., Kellermann, T., McNevin, V., la Sécurité Electronique : Risquer la Réduction Dans les Transactions Financières, les Problèmes de Politique Publics, La Banque mondiale, le 2002 juin
Godbout, Juge Bernard, j. le c. le s., jugement de la Wellman de cause c. Québec (Ministère de la revenu-secrétariat de du de Sécurité) Cor Supérieure, Québec, le Quartier de Chicoutimi, N°:150-05-000416-950, 19 juillet 2002 4
Gordon, Laurence A. et Loeb, Martin, La science économique d’investissement de sécurité d’Information, les Transactions de ACM sur la sécurité d’information et système, vol 5, aucun 4, Novembre 2002, demande 438-457 3
Haimes, Yacov Y., Le Rôle de la Société pour l’Analyse de Risque dans les Menaces Emergentes aux Infrastructures Critiques, Risquer l’Analyse, la Science de Blackwell, LE Royaume-Uni,Le 1999 avril, le Volume 19, le Problème 2, demande 153-157 3
Hancock, la Facture, LE GUIDE DE BON SENS POUR LES CADRES SUPERIEURS, le Sommet Dix Pratiques de Sécurité d’Information Recommandées, premier Edition, le 2002 juillet 3
Harkness, J., Lederer, le S.E., Wikler, D., La configuration fondations éthiques pour la recherche clinique, Le Bulletin de l’Organisation de Santé de Monde, 2001 2
Hatcher, M., La prise de décision Avec et Sans la Technologie d’Information dans les Hôpitaux de Soins d’urgence : Examiner dans leEtats-Unis, Le Journal de Systèmes Médicaux, Vol. 22, No 6, 1998 2
Helvey, T., Mack, R., Avula, S., A Emietté, P., les Données La sécurité dans la recherche de Sciences de Vie, Doper la Découverte Aujourd’hui : BIOSILICO, Vol. 2, No 3, le 2004 mai 3
Hillson, Dr David, RISQUER LA DIRECTION POUR LE NOUVEAU MILLENAIREhttp://www.risk-doctor.com/ , .1999 4
Hillson, D., Quel est le risque ? Vers une définitionhttp://www.risk-doctor.com/pdf-files/def0402.pdf commune,, Informer , le Journal de l’Institut de Royaume-Uni de Gestion de Risque, avril, 2002, demande le 11-12 3
HIMMS, L’Etude de Direction de HIMSS Annuelle Onzième, , 2000http://www.himss.org/survey/2000/survey2000.html 2
HM Trésorerie (LE Royaume-Uni), LA Gestion de Risque, UN APERÇU GENERAL STRATEGIQUE, AVEC LA DIRECTION SUPPLEMENTAIRE POUR les plus PETITS CORPS, le 2001 janvier 2
Humpreys, BL.,Le Rapport électronique de Santé Rencontre la Bibliothèque Numérique UN Nouvel Environnement pour Atteindre un Vieux But, J Est Med Informe Assoc, 2000, lSEPTEMBRE ; 7(5), les pages 444-452 2
Infoway, Le Canada Infoway de santé. Le Tiragede DSÉS, un Cadre de DSÉ de interoperable. V1.0, le 2003 juillet 2
L’Organisationinternationales de Normes (ISO), L’ISO/DTR 20514, l’informatique de Santé — le rapport de santé Electronique — la Définition, l’étendue, et le contexte, 2004
L’Organisationinternationales de Normes (ISO), JTC1-SC27, UNE Comparaison de Terminologie : Le Guide d’ISO 73 (le Brouillon le 2001 novembre), PDTR 13335-1 (pour les termes utilisés dans toutes parties de TR 13335), le Brouillon 17799 (N 3184) et en comparaison d’EST 17799:2000, et SC 27 SD 6 (2002-03-31) , 2002 2
L’Organisationinternationales de Normes (ISO), la technologie d’Information de 13335-1, de TR D’ISO/EIC – les Indications pour la direction de LUI Sécurité, la Partie 1 : Les concepts et modèle pour LUI la sécurité, 1996 2
Janczewski, Lech, et Shi, Xinli Franc, le Développement de Bases de Sécurité d’Information pour les Systèmes Informatiques de Services médicaux dans Nouvelle Zélande , les Ordinateurs & la Sécurité, le Volume 21, le Problème 2,31 Le 2002 mars,demande le 172-192 2
Kachur, R. J., Les Données Entreposent le Manuel de Direction, La Rivière supérieure de Selle, N.J., Le Hall d’Apprenti, 2000 3
Kahneman, D., Tversky, A., Théorie possible : Une analyse de décision sous le risque, Econometrica, 1979, demande 263–291 4
Kane,Beverly Les indications pour l’Usage Clinique de Courrier électronique avec les Malades,le Journal de l’Association d’Informatique Médicale américaine, le Volume 5, Numéro 1, Jan/février 1998, demande 104-111 3
Keil, la Marque, Wallace, Linda, Turc, Dan, le Dixon-Randall, Gayle, Nulden, Urbain, Une investigation de perception de risque et la propension de risque sur la décision de continuer un projet de développement de logiciel, Le Journal de Systèmes et le Logiciel, 2000, les pages 145-157 3
Kerkri, E. M. Quantin, C., LE F.A. de Allaert, Cottin, Y., Charve, le P.H., Jouanot, F., Yétongnon, K., Une Approche pour Intégrer les Sources d’Information Hétérogènes dans un Entrepôt de Données Médical, le Journal de Systèmes Médicaux, Vol. 25, No 3, 2001 1
Kim 2003…
Kremer, S. et al, Une étude de tension de protocoles non-répudiation, les Communications Informatiques, aucun 25.2002, demandent 1606-1621 3
Lagadec, Patrick, Risques, les Crises et Gouvernance : rompt LE, se rompt des paradigmes, Réalités Industrielles, Les Mines de des de Annales,numéro spécial : « Les sciences et le risques de à de activités de des de génie », Mai 2003, demande 5-11 3
Laibson, D., Zeckhauser, R., Amos Tversky et l’Ascension de Science économique Comportementale, le Journal de Risque et l’Incertitude, 1998, demande 7–47 3
LandwDSÉ, Carl E., les modèles Formels pour la sécurité informatique, serveys d’Informatique de ACM, vol 13, aucun 3, Septembre 1981pages.247-278 2
Ledbetter, Craig S., Morgan, Matthew W., Vers la Meilleure Pratique : Servir du Rapport Patient Electronique comme un Entrepôt de Données Clinique, le JOURNAL DE DIRECTION D’INFORMATION DE SERVICES MEDICAUX, vol. 15, no 2, l’été 2001 1
Léger,le Marc-André, le technologiques de vulnérabilités de des de processus d’Onu mesure de com du cyber-attaques des de contre de protection, d’activité de Rapport de synthèse, Maîtrise en Informatique de Gestion, UQAM, Juin 2003, 110 pages 3
Léger,le Marc-André, Méthodologie IVRI du matière de en de risque de du de gestion de sécurité de, les Communications de Fortier de Editions,Montréal, Septembre 2003 3
Lloyd, Andrew J, les Menaces au jugement d’avantage : les méthodes de elicitation de préférence sont-ils précises ? , La Science économique de Santé, 2003, demande 393–402 3
Maguire, Stuart (2002), Identifiant des risques pendant le développement de système informatique : gérant le procédé, le Journal de Direction d’Information & la Sécurité Informatique, le Volume 10 Numéro 3,demande 126-p134
Le marécage, Andy, La Création d’une société d’information de telemedical globale, le Journal International d’Informatique Médicale, 1998, demande 173–193 3
Le meunier, Gerald C., Ph.D., les Données entreposent et les stratégies de direction d’information dans le laboratoire d’immunologie clinique, les Revues d’Immunologie Cliniques et Appliqués, 2002 2
Misslin, René, Le système de défense de crainte : le comportement et neurocircuitry, Neurophysiologie clinique 33, 2003, demandent 55–66 5
MSSS, Ministère de la Santé du Québec, Le réseau RTSS, MSSS de du d’internet de site, ,2003http://www.msss.gouv.qc.ca/rtss/ 4
MSSS, Ministère de la Santé du Québec, Le réseau du bref de en de sociosanitaire de télécommunication, documenter interne du TCR, 2002 3
Myerson, Judith, La Gestion de Risque, LE JOURNAL INTERNATIONAL DE DIRECTION DE RESEAU, 1999, demande 305-308 2
Neumann, Peter G., Risque au Public dans les Ordinateurs et aux Systèmes Apparentés, les Notes d’Ingénierie de Logiciel de SIGSOFT DE ACM, vol 26 aucun 1, le 2001 janvier, les Pages 14-38 3
Novosyolov, A., Risquer la Théorie : Les Concepts fondamentaux de Théorie de Risque, Faire une conférence pour les étudiants de département de maths, InstitutdeModelage computationnel , Academgorodok,Krasnoyarsk,La russie, Le 2002 janvier 3
Nuremberg le code, les Directives pour l’Expérimentation Humaine, 1947 3
Le rhythme, Wilson D, la Conception de données pour Assurer l’Etude Anonyme d’Erreurs Médicales : Un Rapport du ASIPS en collaboration, le Journal de l’Association d’Informatique Médicale américaine, le Volume 10, Numéro 6, novembre/décembre 2003, demande 531-540 3
Puhr, Claus, OPIS – UNE toile a rendu capable des données cliniques entreposent le prototype, la présentation, Université de Vienne, 2003 2
Pedersen, le T.B., Jensen, le C.S., les problèmes de Recherche dans les données cliniques entreposent, les Procédés de SSDBM › 98, Le 1-3 juillet 1998dansCapri, L’Italie 1
RAAB, Charles D., L’avenir de protection d’intimité, la Confiance de Cyber & le Projet d’Empêchement de Crime, 2004 2
Le recteur, l’A.L., Nowlan, W.UN. , Kay, S., les Fondations pour un rapport de electronicmedical, les Méthodes d’Information dans la Médecine, 1991, demandent le 179–186 2
Safran, Charles, Goldberg, Howard, les rapports de malade Electroniques et l’impact de l’Internet, le Journal International d’Informatique Médicale, 2000, demande 77–83 2
Sénat (Le Canada), Le Comité de Sénat de Position sur les Affaires Sociales, la Science et la Technologie, La Santé de Canadiens – Le Rôle Fédéral, Le Rapport Provisoire, Le Volume Cinq : Les principes et les Recommandations pour la Réforme – je Sépare,Governement de Le Canada, 2002 3
Schloeffel, P., la Santé Electronique Définition Record, l’Etendue et le Contexte : L’ISO/TC 215 Papier de Discussion,le 2002 octobre, disponible à https://committees.standards.com.au/COMMITTEES/IT-014-09-02/N0004/IT-014-09-02-N0004.DOC 2
Shortreed, J., Hicks, J., Craig, L., les Cadres Fondamentaux pour Risque la Direction, le Rapport Final, A Préparé Au Ministère de Ontario de l’Environnement, le Réseau pour l’Evaluation de Risque Ecologique et la Direction,Mars 28, 2003 2
Schubart, Jane R., Einbinder, le S de Jonathan, l’Evaluation d’un entrepôt de données dans un centre de sciences de santé académique, le Journal International d’Informatique Médicale, 2000, demande 319–333 2
Schumacher, H. J., Ghosh, S., Un cadre fondamental pour la sécurité de réseau, le Journal de Réseau et les Applications Informatiques, 1997, demande le 305–322 2
Smith, E. Eloff, J. H. P., la Sécurité dans les systèmes informatiques de services médicaux – les tendances actuelles, le journal International d’informatique médicale, aucun 54, 1999, demandent 33-54 2
Snee, le N.L., Le Cas pour Intégrer les Réseaux d’Informatique de Santé Publics, Un Aperçu Général des Eléments Exigés pour un IntégréEntreprise L’Infrastructure d’information pour Protéger la Santé Publique,IEEE Organisant dans la Revue de Médecine et Biologie, janvier le 2004 février 2
Stoneburner, Gary, Goguen, Alice, Feringa, Alexis, NIST la Publication Spéciale 800-30 Risquent le Guide de Direction pour l’Information Systèmes de technologie, les Recommandations de l’Institut National de Normes et la Technologie, le 2002 juillet 1
Sujansky, Walter, l’Intégration de données Hétérogène dans la Biomédecine, le Journal d’Informatique Biomédicale, 2001, demande 285–298
Les étés, le K.H., Les Issues de mesurer et Interception de Programmes de Direction de Maladie, Cliniques Thérapeutiques, le volume 18, NO. 6, 1996 One12
Sweltz, Ken, La Stratégie d’Evaluation de Vulnérabilité de réseau pour le Petit Etat et les Agences de Gouvernement Locales, SANS l’Institut, GIAC le dépôt pratique, 2003 3
Takeda, H., Matsumura, Y., Kuwata, S., Nakano, H., Sakamoto, N., Yamamoto, R., l’Architecture pour les systèmes record, patients, électroniques et en réseau, le Journal International d’Informatique Médicale, 2000, demande 161–167 2
Thompson, Paul B., la protection des renseignements personnels, le secret et la sécurité, la Technologie d’Ethique et Information, 2001, demande 13–19 1
La pince, le C. K. LE S., l’Implémentation de ISO17799 et BS7799 dans archiver d’image et le système de communication : l’expérience locale dans l’implémentation de BS7799 norme, le B.V de Science de Elsevier le Feuilleton de Congrès International 1256, 2003 , demandent 311–318
Toyoda, Ken, la Normalisation et la sécurité pour le EMR, le Journal International d’Informatique Médicale, 1998, demande 57–60 2
Tregear, Jonathan, Risquer l’Evaluation La Sécurité d’information Rapport Technique, le Volume 6, numéro 3, septembre 2001, demande 19-27
Wagner,Je., Les problèmes Ethiques de healtcare dans la société d’information, l’Opinion du groupe européen sur l’éthique dans la science et les nouvelles technologies au comission européen, Aucun 13, le 1999 juillet 2
Watkins, Michael D., Bazerman, H. de Maximum, les Surprises Prévisibles : Les Désastres Vous Auriez Dû Voir Venir, les Affaires d’Harvard réexaminent en ligne, 2003 2
Hiver 2
Wismiewski, le M.F., Un Entrepôt Clinique de Données pour le Contrôle d’Infection, le Journal du Volume d’Association d’Informatique Médical américain 10 lSEPTEMBRE Numéro 5/Octobre 2003 1
LE MONDE ASSOCIATION MEDICALE, LA DECLARATION D’HELSINKI, les Principes Ethiques pour la Recherche Médicale Impliquent les Sujets d’Humain, Helsinki, Finlande, le 1964 juin 2
Yoshihara, H., Le développement du rapport de santé électronique au japon, Int. J. Med. Inf., 1998, demande 53–58 (***) 3
Zhou, Lidong, Haas Zygmunt J., Obtenant des Réseaux Improvisés, le Réseau de IEEE, 1999 3
Zviran, M., Armoni, A., Glezer, C., LE SON/BUI : Un Modèle Conceptuel pour l’Intégration de Fond-Augmente de Systèmes Informatiques d’Hôpital, le Journal de Systèmes Médicaux, Vol. 22, No 3, 1998, Demandent 147-159 2
Code Signification
1 Très important
2 Moins significatif
3 Les aides définissent le sujet
4 Instructif ou moins significatif
5 Pas cela significatif

[1]ISO- 20514, Ledbetter(2001), Bakker(2004),Schloeffel(2002), Rector(1991), Infoway(2003)

[2] [Anderson, 2000] [Safran, 2000][MAL1] [Sujansky, 2001] [ Takeda, 2000] [Zviran, 1998]

[3] [Humpreys, 2000]

[4] [Chaudhuri, 1997]

[5] [Chaudhuri, 2001]

[6] [Ledbetter, 2001]

[7] [le Meunier, 2002][Berndt, 2003]

[8][Sujansky, 2001] [CIHR, 2002] [AAMC, 2002] [Wismiewski, 2003] [Ledbetter, 2001] [Puhr, 2003] [le Meunier, 2002] [Diminue, 1999] [Hatcher, 1998] [le Marécage, 1998] [les Etés, le ]. de 1996

[9][Pedersen, 1998] [Kachur, 2000] [HIMMS, 2000] [Schubart, 2000] [Watson, 2003] [Einbinder, 2001] [Snee, 2004]

[10] [Burt, 2001] [Berryman, 2002] [ISO, 2002] [Hillson, 2003]

[11] [Novosyolov, 2002] [Damodaran, 2001] [Darlington,2001]

[12] [Lagadec,2003]

[13][ISO 17799].

[14] [Buckovich, 1999]

[15][WMA, 2002]

[16] [WMA, 2002]

[17] [Thompson, 2001]

[18][Bell,1976]

[19][Kerkeri, 2001]

[20][Brender, 1999]

Sur l’application d’Equilibrium de Nash à la gestion de risque d’Information de santé

Par Marc-André Léger, DESS, MScA (MIS)

Université de Sherbrooke, Sherbrooke, Québec, Canada, marcandre@leger.ca

Par une approche d’étude de cas, cet article cherche à démontrer les insuffisances des méthodologies d’évaluation de risque actuellements utilisées. En particulier, les méthodologies d’évaluation de risque utilisées dans la santé ne permettent pas d.estimer correctement l’inportance des aspects éthiques et de santé publique. Des approches différentes, basées sur des paradigmes différents, pourrait être utilisé. Deux candidats possibles sont proposés, soient la théorie des prospects et l’équilibrium de Nash.

Mots clefs

Santé, information, Sécurité, Risque, Gestion

  1. Introduction

Les praticiens et les organisations de santé ont besoin de l’information. La médecine moderne, basée sur les données probantes, l’administration du système de santé et la recherche médicale compte tous sur les données produites à travers le système de santé. Les systèmes informatiques sont de plus en plus présents dans tous aspects de pratique clinique, dans les fonctions administratives et dans beaucoup d’autres champs d’activités de la chaine de valeur de la santé. L’importance émergente du Dossier de Santé Electronique (DSÉ) de même que l’augmentation de l’usage des technologies de l’information (TI) dans les activités de santé fournit progressivement l’accès aux grandes quantités de données à propos des malades, la livraison de soin de santé et la recherche [1] [2] [3]. À cause de ce besoin d’information et parce que l’information a besoin des diverses technologies pour la porter, la sécurité de l’information est devenue un problème. Les organisations de santé, exécuter optimalement, avec la régularité, progressivement, le besoin d’identifier le prévisible [4], ils ont besoin de gérer des risques associés à son besoin pour l’information. Ceci est que nous appelons la gestion de risque informationnel de santé ou GRIS.

Il y a beaucoup de facteurs supplémentaires que justifie le besoin pour GRIS. La disponibilité limitée de ressources financières et humaines, motive des organisations pour être très prudentes de comment il les alloue. Parce que la Technologie d’Information peut coûter cher d’acquérir et maintenir et exiger des ressources spécialisées, GRIS peut être utilisé comme la partie de la solution pour garder leurs coûts en ordre. Pour quelques organisations, quelques lois et quelques règlements imposent des conditions spécifiques quant à la préservation d’intimité et de confidence. La nature de santé impose des conditions pour la disponibilité, par exemple cette disponibilité d’un graphique de chevet du malade pendant les ronds. L’intégrité d’information peut être aussi un problème sensible, par exemple entre le sang de type A et le B il y a une différence de un bit, mais si ce bit est changé par inadvertance, il peut avoir des conséquence sévère pour un malade recevant le mauvais sang. Tous ces raisons et les autres exigent que les organisations de santé pour aient appliqué un programme de gestion de risque. Pour les autres, les conditions contractuelles sont un catalyseur. Gérer les risques sont suprêmes au reportage financier précis et à la prise de décision optimale [5]. Pour ces et l’autre motivation, il y a eu l’intérêt significatif dans le système de santé de Québec pour trouver une solution de GRIS, exprimée par la Demande pour les Propositions (RFP) publié dans le l’année dernière. Aussi, beaucoup de juridictions régionales dans Canada, le Le Gouvernement fédéraux et Infoway de Santé de Canada ont montré l’intérêt dans GRIS. Dans cet article, nous regardons GRIS par un exemple dans ma contexte local spécifique, nous présentons donc un aperçu général du système de santé de Québec.

  1. Méthodologie

Cet article présente une hypothèse de recherche qui a émergé d’un projet de recherche exécutée comme exigence partielle pour le obtention d’un diplôme de Doctorat en Sciences Cliniques à la Faculté de Médecine de l’Université de Sherbrooke. L’article utilise une approche d’étude de cas pour illustrer un problème de recherche qui a évolué dans une hypothèse.

  1. Reconnaître le scénario

3,1 Aperçu général Bref du système de santé de Québec

Puisque 1971, la Santé de Québec et l’Agence de Services Sociale, connue comme le MSSS (Ministered de la Santé et de Socaux de Services), a été le fournisseur seul de santé dans la Province de Québec, où approximativement 25% de la population de Canada réside. Dans 2005 il a employé 269 600 individus dans 1786 worksites, représentant 6,7% de la population active de Québec [6]. Au niveau local, 95 Santé et les Services Sociaux Centrent (CSSS) et le Réseau de Services Local associés (RLS) la santé d’offre et les services sociaux à une population donnée. Dans le 2004 décembre, l’ Acte respectant la santé locale et les agences de développement de réseau de services sociales (Facture 25) CSSS créé en fusionnant des centres médico-social locaux (CLSCs), les centres de soin résidentiels et à long terme (CHSLDs) et le général et les centres d’hôpital spécialisés (CHSGSs). Les objectifs de santé et de centres de services sociaux sont le suivre :

  • Promouvoir la santé et le bien-être
  • Réunir les services offerts au public
  • Offrir plus accessible, mieux a coordonné de le et les services continus
  • Le faire plus facile pour les gens à se déplacer par la santé et le réseau de services social
  • Assurer la direction mieux patiente, particulièrement des utilisateurs les plus vulnérables

Tout CSSS et RLS sont connectés à une province un réseau de santé larges, connu comme le RTSS [26]. Ce réseau privé applique un sommet une en bas infrastructure avec un datacenter national (TCN) reliant plusieurs datacenters régional (TCR). CSSS locaux et les établissements de santé ont les Réseaux de Secteur Locaux qui sont connectés au TCR de leur région. Les services typiques de direction d’Information, aimer l’e-mail ou le traitement de texte, sont fourni au niveau d’établissement. Dans quelques cas, les bases de données sont soutenues par les systèmes de gestion de données partagés (s-sgbd) parmi les établissements multiples dans un TCR. L’accès à Internet est fourni par les cloisons pare-feu Localisé au niveau de TCN.

3,2. ma scénario

Pour illustrer le problème que nous trouvons dans GRIS, nous présentons un scénario simple. Un habitant de la Province de Québec, dans la ville de Montréal, accède au RLS par un centre médico-social proche (CLSC) pour la grippe. Il s’est très inquiété parce qu’il regarde les nouvelles et les craintes qu’il peut avoir la grippe d’Oiseau (H5N1). Arriver à la réception, son identité est vérifiée comme il présente sa carte d’Assurance-maladie de Québec. A ce point que l’habitant est considéré un malade (P) et va à une salle d’attente isolée pendant que son Rapport de Santé (HR) est rapporté et jusqu’à ce que le Professionnel de santé approprié (HP) devient disponible. Dans le CLSC, le HR du malade est dans la partie sur un soutien en papier (couvrant pré-1998 visites par le malade) et le format électronique (DSÉ). En raison du RTSS, la partie du DSÉ est rapportée d’une base de données locale et une autre portion du s-sgbd a localisé dans le Montréal TCR. Une fois P a rencontré avec le HP, dans ce cas un MD de Médecin Généraliste, les analyses de sang sont commandées, le DSÉ est modifié pour inclure la nouvelle information et les feuilles de P avec une recommandation pour le repos et l’hydration. Le HR soupçonne P a un rhume de cerveau et peut souffrir d’un anixiety a relaté le désordre. Une fois les résultats de laboratoire sont retournés, quelques heures plus tard, le malade est informé via le téléphone par le CLSC qu’il a un froid simple. Nous augmenterons sur ce scénario par le reste de cet article pour illustrer ma hypothèse.

  1. Quel est le Risque ?

Le risque de mot trouve c’est des origines dans le risco de mot italien d’un certain age, signifiant le rocher tranchant. Dans le 17e siècle, comme les compagnies d’assurances premières où impliqué dans l’expédition maritime, le risque a évolué des rochers tranchants qui où une source de danger pour les bateaux [11]. Puisque l’introduction de probabilités par Pascal et le travail premier de Rousseau sur l’incertitude [11], l’idée a développé ce risque est quelque chose que peut être étudié, ce n’est pas magique ni un Désastre naturel. L’Incertitude de l’avenir, une condition d’affaires est désignée par le Chevalier [12] dans les 1920 avec le « risque » de terme. Rédige plus tard [13] suggérer que les termes risquent et l’incertitude est devenue interchangeable, et l’un peut être souvent trouvé dans la description de l’autre. Pour Browning [15], les tiges de risque de l’incertitude les états futures, potentielles et environnantes et les conséquences de ces états doivent ils arrivent. L’Armée d’Etats-Unis [14] définit le risque comme le résultat admis d’une décision et les termes informée joue un mal informé pari ou une supposition sur une issue optimiste. Dans l’épidémiologie [16], c’est le plus souvent a utilisé pour exprimer la probabilité qu’une issue particulière arrivera suivre une exposition particulière. Dans un santé réglant le risque est composé du suivre trois parties de composant [17] :

  • Menace : L’événement dont représentera un événement de détente qui peut mener à un défavorable (la série de) la conséquence (les conséquences).
  • Vulnérabilité : Une faiblesse dans le système et – ou l’environnement général, qui pourrait être exploité par un événement de menace.
  • Influer : le (la série de) la conséquence (les conséquences) à une unité de santé qui pourrait se présenter si un événement de menace vulnérabilité exploitée et défavorablement affecté un ou plus de biens comprenant le système.

4,1 Méthodologies Formelles d’évaluation du risque

Dans un cadre d’organisation, le risque est géré dans un mélange de de procédés formels et simples. Les procédés formels de gestion de risque sont que nous nous référons à comme la gestion de risque. Le Guide d’ISO 73(2002) définit la gestion de risque comme les activités coordonnées utilisées par une organisation pour diriger et contrôler le risque. Il inclut généralement l’évaluation de risque, le traitement de risque, l’acceptation de risque et [7][8][9] d’activités de communication de risque pour équilibrer les coûts opérationnels et économiques de mesures de réduction de risque pour maximiser des avantages d’organisation en protégant des biens qui soutiennent leur mission [10].

Les Méthodologies formelles d’évaluation du risque (FRAMs), tel que CRAMM [18], déterminer le risque comme le « produit » de la probabilité d’un incident de sécurité affectant un bien particulier et l’impact a coûté. Les approches similaires sont utilisées par les méthodologies telles que MEHARI ou l’OCTAVE, utilisées dans Québec. IVRI™, développé par l’auteur, suit aussi cette approche. Toutes ces méthodologies sont dans un paradigme qualitatif similaire. Dans eux tous la probabilité (les probabilités) d’une menace et la sévérité des impacts doit être déterminé par les individus dans les organisations utilisant les échelles de Likert-Comme. Ceci fait les exposer à comment les individus perçoivent le risque et ses composants. Selon le Sauvage [20], la tâche même de probabilités numériques, même si subjectif, implique qu’il représente le choix sous le risque. Ces probabilités sont des expressions de quel est finalement la conviction et semble plus comme l’incertitude. Les questions où, selon John Maynard Keynes [21], il n’y a pas de base scientifique sur laquelle former la probabilité calculable quoi que. Dans le champ, nous avons observé que la nature subjective d’incertitude peut introduire les problèmes de validité internes avec FRAMs. Nous avons observé les différences de noticable avec la détermination individuelle de likelyhood ou l’impact dans vivo. Nous croyons que cette subjectivité est une source potentielle d’erreur dans l’évaluation de risque puisque il y a de petite preuves de contrôles de validité internes, similaires à ce qu’est utilisée dans les méthodologies de recherche (par ex. la triangulation), dans les FERMES.

4,2. La validité distribue dans FRAMs

Dans un analisys empirique non-exaustive de méthodologies d’évaluation de risque a utilisé dans les organisations de Québec, nous avons trouvé de petite preuve de contrôles de validy internes ou ces contrôles de validité internes avait été validée par les créateurs de ces méthodologies. Les critères de validité d’utilisation ont utilisé dans la Recherche Clinique présentée dans Whittemore [27], illustré sur la table au dessous, nous croyons qu’il y a de la preuve que quelques critères ne sont pas adressés.

La table 1 : Critères primaires et Secondaires de Validité dans la recherche Qualitative [27]

Critères Evaluation
Critères primaires
Crédibilité Les résultats de la recherche reflètent-ils l’expérience de participants ou le contexte dans une façon crédible ?
Authenticité Une représentation de la perspective de emic expose-t-il la conscience aux différences subtiles dans les voix de tous participants ?
Cricité La recherche traite-t-il démontre de la preuve d’estimation critique ?
Intégrité La recherche reflète-t-il des contrôles récurrents et monotones de validité de même qu’une présentation humble de conclusions ?
Critères secondaires
Caractère explicite Avoir des décisions méthodologiques, les interprétations, et les prejugé d’investigateur a été adressé ?
Netteté Avoir des descriptions épaisses et fidèles a été peintes avec l’ingéniosité et la clarté ?
Imagination Avoir des façons imaginatives d’organiser, présenter, et analyser les données ont été incorporées ?
Minutie Les conclusions adressent-ils avec conviction les questions posées par la plénitude et la saturation ?
Conformité Le procédé et les conclusionssont-ils en harmonie ?
Tous les thèmes ajustent-ils ensemble ?
Les conclusions ajustent-ils dans un contexte hors de la situation d’étude ?
Sensibilité L’investigation a-t-il été appliquée dans les façons qui sont sensibles à la nature d’humain, les contextes culturels et sociaux ?

En particulier nous croyons que les critères d’Authenticité, l’Intégrité, la Netteté, la Minutie, la Conformité et la Sensibilité apparaissent problématique par rapport à FRAMs que nous avons examiné. Ceux-ci doivent mériter l’investigation empirique pour vérifier. Nous croyons donc que c’est donc nécessaire de regarder decions du risque sont fait essayer de comprendre comment que cette source d’erreur peut être meilleure comprise.

4,3. Les décisions du risque

Les modèles de préférences individuelles du risque ont leurs racines historiques dans l’école de philosophie sociale connue comme Utilitarisme [22], proposé dans le 18e siècle dernier. Dans l’Utilitarisme, le but de toutes actions est de maximiser l’utilité générale, avec l’utilité définie comme index quantitative de bonheur certains propriétés fondamentaux satisfaisants. La théorie utilitaire, théorie et la théorie des jeux économiques néoclassiques sont les directeurs fondamentaux de théorie de choix rationnelle ou RCT [23]. Le noyau fondamental de RCT est cette interaction sociale est fondamentalement une transaction économique qui est dirigée dans son cours par les choix de l’acteur rationnels parmi les issues alternatives. Les décisions sont prises seulement après ses avantages et les coûts a été pesé, considérant des prix, les préférences de probabilités et indivual. L’unité d’analyse est la décision individuelle faite par un décideur individuel. RCT définit des actions rationnelles d’individus rationnels comme arrivant sous plusieurs contraintes :

  • La rareté de ressources
  • L’occasion coûte
  • Normes institutionnelles
  • Information

Dans un cadre d’organisation, avec la structure de direction de sommet en bas classique, la somme de ces décisions individuelles, avec les poids différents dans le respect à la position du preneur de décision, sont ce qu’il fait fonctionne. Ces individus dans un social, pendant que RCT d’utilisation pour maximiser l’utilité, sont affecté par le ci-dessus a mentionné des contraintes et par l’autre influence d’une de nature psychologique et culturelle de même que par les pressions externes. Les Méthodologies d’évaluation du risque ont mentionné précédemment tous procédés d’instrument pour expliquer la considération des contraintes de abovementionned de RCT dans l’évaluation de risque. Dans la Théorie de Choix courte et Rationnelle est le modèle de theoritical derrière ces méthodologies. Pendant que nous croyons que ceci est plus en raison de historial et les raisons culturelles au lieu de sur la position de epistemological, il a l’air d’être soutenu par la preuve empirique.

  1. L’application de RCT à ma scénario de risque

Dans cette section de ma article, nous présentons un exemple de GRIS utilisant la Théorie de Choix Rationnelle. Ceci augmente sur le scénario présenté plus tôt. Dans le scenaro que nous avons présenté avant d’être là-bas plusieurs parieurs. L’une la plus évidente est le Malade (P) et le Personnel de CLSC. Aussi, le personnel de TCR qui gère le s-sgbd et MSSS équipe cela gère le système de santé de Québec est aussi des parieurs dans ma scénario. Le assests informationnel qui sont impliqués est :

  • La carte d’Assurance-maladie de Québec ;
  • Le Rapportde santé (HR) et le soutien électronique (DSÉ) ;
  • Le réseau de RTSS ;
  • Une base de données locale ;
  • Un s-sgbd a localisé dans le Montréal TCR ;
  • Sang ;
  • Le laboratoire résulte ;

Pour illustrer l’utilité prévue pour chacune de la catégorie de parieur par rapport à la valeur relative des biens d’information, soi nous avons construisons la table présentée au dessous. A cet effet nous avons fait une supposition informée à la valeur relative utilisant des données d’une étude précédente [24] dans un scénario où le bien de informaiton a été divulgué ou a été détruit (l’haut impact). Nous présentons seulement le plus pertinent a pour résultat la table 1 pour convinience.

La table 2 : La valeur relative de biens d’information par la catégorie de parieur.

Carte d’assurance-maladie HR RTSS Base de données locale le s-sgbd
Malade Niveau bas Haut Niveau bas Niveau bas Niveau bas
Personnel Niveau bas Coût de remplacement Niveau bas Le coût de remplacement et le rétablissement de données Niveau bas
TCR personnel Niveau bas Coût de remplacement Haut Niveau bas Haut
MSSS personnel Le coût de remplacement et l’usage impropre coûtent Le coût de remplacement et la loi d’intimité potentielle conviennent Coût de remplacement Niveau bas Coût de remplacement

Limitons ma étendue au bien d’information de DSÉ. Quel est, dans ma scénario, le risque a associé avec le DSÉ. Le risque, comme nous avons cité de Smith [17], consister en la Menace, la Vulnérabilité et l’Impact. Si nous considérons la menace comme le divulgation ou la destruction du DSÉ et la Vulnérabilité comme est l’usage du réseau de RTSS pour gagner l’accès à Internet au DSÉ nous pouvons proposer la table suivante.

La table 3 : L’impact du divulgation du DSÉ et Risque par la catégorie de parieur

Parieur L’impact du divulgation du DSÉ Risque
Malade La perte d’intimité, une droite humaine fondamentale a protégé dans Québec, le potentiel pour l’anxiété et la perte financière. La perte de confiance dans le système de santé. Potentiellement Haut
Personnel Peut avoir besoin de retaper des données rapportées de la forme en papier (le temps) ou restaure des sauvegardes (le temps) si les sanctions disponibles et possibles par l’employeur (intention généralement mineure à moins que la criminelle) Niveau bas
TCR personnel Peut avoir besoin de restaurer des sauvegardes si disponible (le temps), les sanctions par l’employeur s’il y a la responsabilité directe (intention généralement mineure à moins que la criminelle). Niveau bas
MSSS personnel 1000$ par l’incident en cas des procès de loi pour la perte d’intimité. La perte de réputation si la situation est faite le public, les sanctions possibles d’une lettre de réprimande à la perte de employement ou de rétrogradation (intention généralement mineure à moins que la criminelle) si une responsabilité peut être établie. Niveau bas

Dans un tel scénario, où la Menace pour se concrétiser, le risque serait une fonction de l’impact. Comparer l’impact de la réalisation avec l’état non-divulgation que nous sommes dans avant que nous ayons ayons ajouté la Menace, nous estimerions le risque de chaque point de vue du parieur comme a indiqué dans la dernière colonne de la table précédente. Si, comme nous avons cité previuosly, l’objectif de gestion de risque est d’équilibrer les coûts opérationnels et économiques de mesures de réduction de risque pour maximiser des avantages en protégant le DSÉ, alors du point de vue de chaque parieur la raison est pour les dépenses de réduction de risque basses, avec l’exception du Malade. Dans le MSSS de cas, parce que le total le risque combiné du 7 millions d’habitants de Québec, le risque combiné peut être perçu comme plus significatif. RCT d’utilisation pour maximiser l’utilité, nous prévoirions que le MSSS et le patient pour ait donné plus pour estimer à protéger le DSÉ, pendant qu’il aurait moins de valeur pour les autres parieurs. Dans le champ et dans la recherche empirique précédente [24], nous avons remarqué ce personnel de TCR, quand donné un choix, plus de ressources alloué à l’opération d’exécution que Risquer les activités de Direction. Au niveau de MSSS, l’haut risque de aggegated suggéré peut soutenu par la réalité, comme l’effort significatif est consacré pour s’assurer que le lien entre le TCN et l’Internet est les Malades d’assuré.le, pendant qu’intéressé, avoir petit dire dans GRIS.

5,1. L’application d’une Méthodologie de Assement de Risque Formelle à ma scénario de risque

Nous avons exécuté une Evaluation Formelle de Risque, dans ma scénario faisant des suppositions fondamentales ont basé ma connaissance du système de santé de Québec d’une étude de previus [24]. Ceci a été fait utilisant IVRI™. Cette méthodologie était choosen necause il a été créé par l’auteur de cet article et parce que c’est disponible à aucun coût sur l’Internet (www.leger.ca) si ce scénario d’évaluation de risque pourrait être polycopié. Il a été publié en français [8] dans 2003 et utilise une Feuille électronique pour aider l’Evaluation de Risque, qui produit le graphique présenté au dessous. L’Index de Risque de IVRI (IRi) était 1570 avec une base (IB) à 727.

La figure 1 Risque Estimé par la catégorie de Menace avec IVRI™

En comparant les résultats ont obtenu utilisant le FRAM avec le resultus de l’application de RCT à ma scénario, nous croyons qu’il y a l’apparence de congruance. Une explication possible pour ceci est que FRAMs, tel que IVRI, applique une forme de RCT. Ceci a besoin d’être confirmé par l’investigation empirique. ma hypothèse est que FRAMs aujourd’hui disponible dans Québec applique une forme de Théorie de Choix Rationnelle.

5,2. Où le problème est ?

Le problème que nous voyons, ayant fait la recherche dans le champ d’Informatique de santé, s’agit de l’Ethique. Dans les santé, une tradition Ethique longue, premièrement exprimé par le serment de Hypocratical et renforcé par experice du Code de Nuremburg, a évolué être suppported par la loi, les Chartes de droits et les Codes de Déontologie. Les droits à l’intimité et à la confidence sont intimement connectés avec la droite pour respecter pour une dignité, une intégrité et une autonomie sont constitutionnelment enchâssé dans la Charte canadienne de Droits et Charte de Libertés et Québec de Droits et les Libertés Humaines [25]. Ils sont les chauffeurs principaux de la condition pour le traitement suffisant de risque dans les organisations de santé [26]. Dans évaluer de risque dans un GRIS réglant c’est nécessaire d’estimer des considérations Ethiques de même que l’utilité prévue fournie par RCT. Dans ma scénario précédent, considérations Ethiques, telles que la perte d’intimité si une information du malade seule est divulgué, a un Risque relativement bas pour le MSSS, mais a un haut potentiel de Risque pour le malade, comme nous avons illustré dans la Table 3.

Dans une revue de litterature, nous avons identifié qu’il y a plusieurs composants pour risquer dans un cadre de Healthceare [27][28][29][30][31][32][33][34]:

  • Une condition pour les Politiques formelles, la Documentation et entraînant ;
  • Intimité ;
  • Confidence ;
  • Intégrité ;
  • Disponibilité ;
  • La présence de Garanties appropriées ;
  • Limitant la Collection ;
  • Les Procédés pour rendre capable Défiant la Conformité ;
  • La D’-Identification de données ;
  • Obtenir la transmission de données ;
  • La Direction contrôle ;
  • Responsabilité ;
  • Une condition pour la Franchise ;
  • Consentement Informé ;
  • Identifiant des Buts de réception de données ;
  • L’Accès à l’information par les malades
  • la droite pour retenir,
  • séparer ;
  • modifier ; et
  • copie ;
  • L’Usage limitant, la Révélation, et la Rétention ;
  • La révélation Pleine (Aucunes bases de données secrètes existeront) ;
  • L’usage Non-commercial (le rapport Non médical sera vendu, sera utilisé pour mettre sur le marché de buts sans le consentement informé préalable de l’individu).

Dans le contexte du scénario que nous avons présenté, la plupart de ces composants pourraient être applicables. Ou à cause des devoirs de leal qui affectent le DSÉ, décrit dans [35] ou les conditions éthiques de la Déclaration d’Helsinki [29], dans un scénario idéal d’évaluation du risque, ceux-ci tous pourrait avoir une influence du potentiel pour le Risque. De tous les composants de Risque, beaucoup ne pourraient pas être facilement assignés une valeur. Combien la valeur peut être donnée à la qualité du consentement informé ? Peut-être une valeur peut être mise Pivacy en référant la Jurisprudence, mais il va en toute probabilité être toujours trop bas pour le indivual victime et toujours trop haut pour le parti responsable. Si nous regardons le consentement informé, nous trouvons que ce peut être difficile à déterminer, dans les activités de GRIS, la qualité de ce consentement. Dans beaucoup de ces problèmes éthiques que ma intuition suggère qu’il y ait non linéarité entre la Menace et l’Impact mais plutôt le Risque les augmentations probables par les graduations, comme un escalier avec les étapes inégales. Parce que c’est difficile à assigner une valeur à ces composants de risque, n’importe quel FRAM qu’utilise coûts financier ou de remplacement dans le calcul de l’Impact comme un composant principal de necessarely de volonté de risque sous-évalue tous les composants intangibles, les composants avec la petite valeur monétaire ou difficile à percevoir comme une utilité prévue a exprimé dans les termes de menetary. Nous croyons il y a un lien entre ce problème et les problèmes de validité mentionnés précédents. Nous faisons donc l’hypothèse que FRAMs sont, à meilleur, d’un acuracy indéterminé.

  1. Pourquoi ne pas regarder d’approches différentes ?

Throught une revue de litterature nous avons exécuté pour un projet de recherche continu, nous avons identifié des secteurs de litterature qui où pas couvert dans les champs de tradition de technologie de santé ou Information. Ceci nous a menés à regarder des théories différentes qui peuvent être utilisées comprendre la gestion de risque. Compter sur le champ d’économétrique et épidémiologie, nous avons vu de la preuve qui il y a les modèles d’évaluation de risque qui ont été développés dans les autres champs qui pourraient être appliqués à GRIS. Nous n’avons pas trouvé de preuve que cette possibilité avons été evaluted dans l’IL litterature de sécurité ou dans le litterature de santé. Dans ma revue de litterature sur le risque, nous avons trouvé qu’il y a des théories différentes qui ont été développées. Nous avons vu aussi de la preuve que cette Théorie Des Jeux est utilisée dans le champ d’assurance pour le calcul de risque. Donc nous proposons l’hypothèse qui peut-être une approche différente pourrait être utilisée pour estimer GRIS. Regarder dans litterature, nous suggérons que deux condidates possible pour ait remplacé RCT comme la base pour l’évaluation de risque dans FRAMs.

6,1. Le candidat possible 1 : Théorie de perspective

Selon Edwards [36], la théorie de Perspective a été premièrement formulée par Kahneman et Tversky dans 1979 comme une méthode alternative d’expliquer de choix faits par les individus sous les conditions de risque, comme un remplaçant pour la théorie d’utilité prévue. Kahneman et Tversky sont rendus compte le fait que le modèle de théorie d’utilité prévu n’a pas décrit entièrement la manière dans laquelle individus fait des décisions dans les situations risquées et Cela donc, il y avait des exemples dans lesquels un choix de decisionmaker ne pourrait pas être prédit. Par exemple, ils font remarquer que l’Utilité Prévue n’explique pas la manière dans laquelle l’encadrement peut changer la décision de l’individu, ni le fait explique pourquoi des individus exposent risque-chercher le comportement dans quelques exemples et quelque comportement risque-opposé dans les autres. Kahneman et Tversky [37] démontre que les choix des sujets de loteries exposent une grande variété d’anomalies qui violent la théorie d’utilité prévue. Le plus important, ils montrent que les changements prévisibles et dramatiques dans la préférence peuvent être produits en changant les façons dans lesquelles options sont encadrées. Contrairement aux théories économiques traditionnelles, qui concluent des implications des préférences normatives, la théorie de perspective prend une approche inductive et descriptive. La théorie de perspective peut être regardée [36] comme un résumé parcimonieux de la plupart des anomalies de choix risquées importantes. Une approche de GRIS a basé la Théorie de Perspective dans le Risque de wich tient compte de l’encadrement pourrait être utilisé, au moins ce pourrait être possible. L’étude de Futher est exigée explorer ceci, mais il montre à une possibilité pour regarder le risque dans une lumière différente que c’est possible de faire avec l’Utilité Prévue. Donc nous combattons qu’il y a au moins une théorie que peut être utilisé pour identifier le risque et les décisions modèles du risque.

6,2. Le candidat possible 2 : Nash Equilibre

John Forbes Nash, fait célèbre par Russel Crowe dans le film UN esprit de beautifull, a suggéré que cette Utilité de Expeted ne peut pas être la meilleure façon pour décrire comment des individus font des décisions risquées. ‹  Adam Smith a besoin de la révision  ›, comme est cité dans le film. Nash [38] a défini formellement un équilibre d’un jeu non coopératif pour être un profil de stratégies, l’un pour chaque joueur dans le jeu, tel que chaque stratégie du joueur maximise sa récompense d’utilité prévue contre les stratégies données des autres joueurs. Si le comportement de tous les joueurs dans un tel jeu peut être prédit, alors la prédiction doit être un équilibre de Nash, autrement il violerait cette supposition du comportement individuel, rationnel et intelligent. Devoir le comportement prédit ne satisfait pas les conditions pour l’équilibre de Nash, alors il doit y avoir au moins un individu dont le bien-être prévu pourrait être amélioré en l’instruiant plus efficacement pour poursuivre ses propres meilleurs intérêts, sans aucun autre changement [38]. Il paraît qu’un Equilibre de Nash mieux explique non les impacts monétaires de risque dans les Systèmes Informatiques de Healtcare, tels que divulgation d’information privée, la perte de vie ou d’autres violations Ethiques parce qu’il approche le problème comme un de stratégie au lieu de comme un d’incertitude. Au lieu du risque de vue comme une fonction de menaces, la probabilité de réalisation et l’impact, il pourrait regarder le risque comme une variance d’une stratégie dominante dans un jeu non coopératif entre une organisation (avec l’information pour protéger), un environnement (wich peut dammage aux systèmes informatiques) et un troisième joueur (les concurrents, les employés de pirates informatiques ou malitious). Les approches ont basé l’Equilibre de Nash a été utilisé dans l’Econométrie pour créer des modèles mathématiques d’économies, dans les autres champs pour développer des modèles pour évaluer le risque d’assurance et dans les autres champs. Nous croyons que cette recherche empirique devrait être faite pour explorer cette possibilité dans GRIS. Telle une approche pourrait intégrer les inquiétudes diverses, monétaires, non monétaires et éthiques d’organisations de santé.

  1. Conclusion

Nous suggérons que les approches différentes au problème de GRIS aient considérées. En utilisant une approche d’étude de cas comme nous avons fait dans cet article, nous pouvons démontrer le likelyhood que l’approche actuelle est limitée. C’est ma pretention cet Equilibre de Nash mieux explique non les impacts monétaires de risque dans les Systèmes Informatiques de Healtcare, tels que divulgation d’information privée, la perte de vie ou d’autres violations Ethiques. Pendant que nous croyons que cette recherche empirique devrait être faite pour explorer cette possibilité, c’est actuellement impossible à persue ce dû d’hypothèse, principalement, à manquer de subvention. Cet en papier projette pour démontrer, par une revue de litterature, les exemples des champs et la discussion différents, que cette idée a le mérite. Devoir ceci est prouvé, il significativement pourrait affecter finalement comment IL Risque la Direction est faite. Malheureusement en ce moment il n’y a pas reserch subventionnant disponible à persue cette idée ou ces idées de ce type dans la Recherche d’Informatique de Healtcare ou dans la Technologie d’Information pliée. Parce qu’il n’y a pas d’encouragements économiques pour faire le genre de recherche fondamentale nécessaire pour développer telle une idée, entreprise privé ne peut pas persue ceci. Nous croyons que cette situation devrait être corrigée.

Références

[1] Anderson JG. Security of the distributed electronic patient record: a case-based approach to identifying policy issues, International Journal of Medical Informatics, 2002, pages 111–118

[2]  Safran, C., Goldberg, H., Electronic patient records and the impact of the Internet, International Journal of Medical Informatics, 2000, pages 77–83

[3]  Sujansky, W., Heterogeneous Database Integration in Biomedicine, Journal of Biomedical Informatics, 2001, pages 285–298

[4]  Watkins, M.D., Bazerman, M.H., Predictable Surprises: The Disasters You Should Have Seen Coming, Harvard Business review Online, 2003

[5]  Stoneburner, G., Goguen, A., Feringa, A., NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology, July 2002

[6] Ministère de la Santé et de la Sécurité Sociale du Québec: www.msss.gouv.qc.ca

[7] Hancock, Bill, COMMON SENSE GUIDE FOR SENIOR MANAGERS, Top Ten Recommended Information Security Practices, 1st Edition, July 2002

[8] Léger, Marc-André, Méthodologie IVRI de gestion du risque en matière de sécurité de l’information, Éditions Fortier Communications, Montréal, Septembre 2003

[9] Schumacher, H. J., Ghosh, S., A fundamental framework for network security, Journal of Network and Computer Applications, 1997, pages 305–322

[10] Myerson, Judith, Risk Management, INTERNATIONAL JOURNAL OF NETWORK MANAGEMENT, 1999, pages 305-308

[11] Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

[12] Knight, Frank H. (1921) Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton Mifflin Company, 1921. [Online] available from http://www.econlib.org/library/Knight/knRUP1.html ; accessed 11 December 2005

[13] Beck, Ulrich (1986) Risk Society: Towards a New Modernity, Sage Publications

[14] US Army (1998) US Army tarining manual FM100-14

[15] Browning, T. R. (1999) Sources of Schedule Risk in Complex System Development, Lean Aerospace Initiative at Massachusetts Institute of Technology, John Wiley & Sons

[16] Last JM, (2001) A dictionary of epidemiology. 4th edition. New York: Oxford University Press

[17] Smith, E., Eloff, J.H.P. (1999) Security in health-care information systems—current trends, International Journal of Medical Informatics, vol. 54, pp.39–54

[18] Jøsang, A., Bradley_, D.,  Knapsko, S. J. (2004) Belief-Based Risk Analysis, Australasian Information Security Workshop 2004 (AISW 2004), Dunedin, New Zealand. Conferences in Research and Practice in Information Technology, Vol. 32

[19] Cusson, R. (2002), Étude comparative des méthodologies d’analyse de risque, Conseil du Trésor du Québec

[20] Savage, L. (1954). The Foundations of Statistics. Dover, New York.

[21] Keynes, J.M. (1937) The General Theory of Empoyment, QJE

[22] Lo, A. W. (1999) The Three P’s of Total Risk Management, Financial Analysts Journal, January/February 1999, pp.13-26

[23] Levi, M. and als. (1990), The Limits of Rationality, University of Chicago Press, Chicago, Illinois in Zey, M. (1998) Rational Choice Theory and Organizational Theory: A Critique, Sage Publishing, February 1998

[24] Léger, Marc-André, Un processus d’analyse des vulnérabilités technologiques comme mesure de protection contre les cyber-attaques, Rapport d’activité de synthèse, Maîtrise en Informatique de Gestion, UQAM, Juin 2003, 110 pages

[25] CIHR (Canadian Institutesof Health Research), Secondary use of personal information in health research: Case studies, Canadian Institute of Health Research, November 2002

[26] MSSS, Ministère de la Santé du Québec, Le réseau RTSS C’est, site internet du MSSS, http://www.msss.gouv.qc.ca/rtss/, 2003

[27] Whittemore, R., Validity in qualitative research, Qualitative Health Research, vol 11, no 4, july 2001, pages 522-537.

[28] Belmont Report, Ethical Principles and Guidelines for the Protection of Human Subjects of Research, The National Commission for the Protection of Human Subjects of Biomedical andBehavioral Research, April 18, 1979

[29] WORLD MEDICAL ASSOCIATION, DECLARATION OF HELSINKI, Ethical Principles for Medical Research Involving Human Subjects, Helsinki, Finland, June 1964

[30] Nuremberg code, Directives for Human Experimentation, 1947

[31] Harkness, J., Lederer, S.E., Wikler, D., Laying ethical foundations for clinical research, Bulletin of the World Health Organization, 2001

[32] CSA (Canadian Standards Association), Model Code for the Protection of Personal Information (Q830-96) , 2003, http://www.csa.ca/standards/privacy/code/Default.asp?language=english

[33] CIHR (Canadian  Institutes of Health Research), Guidelines for Protecting Privacy and Confidentiality in the Design, Conduct and Evaluation of Health Research: BEST PRACTICES, CONSULTATION DRAFT, April 2004

[34] Buckovich, Suzy A. et als, Driving Toward Guiding Principles: A Goal for Privacy, Confidentiality, and Security of Health Information, Journal of the American Medical Informatics Association Volume 6 Number 2 Mar / Apr 1999, Pages 122-133

[35] Boudreau, Christian et la CAI, Étude sur l’inforoute de la santé au Québec : Enjeux techniques, éthiques et légaux, document de réflexion, octobre 2001

[36] Edwards, K., Prospect Theory: A Literature Review, International Review of Financial Analysis, Vol. 5, No. 1, 1996, pages 19-38

[37] Laibson D., Zeckhauser, R. (1998) Amos Tversky and the Ascent of Behavioral Economics, Journal of Risk and Uncertainty, pp 7–47

[38] Myerson, Roger B. (1996) NASH EQUILIBRIUM AND THE HISTORY OF ECONOMIC THEORY, Journal of Economic Literature 36:1067-1082 (1999), revised, March 1999, accessed online on March 8th, 2006, http://home.uchicago.edu/~rmyerson/

 

L’auteur souhaite remercier les Professeurs Johanne Pateneaude et Andrew Grant de la Faculté de médecine de l’Université de Sherbrooke et, le Phd/Postdoc d’Informatique de Santé de CIHR le Programme d’Entraînement Stratégique (les Instituts canadiens de Recherche de Santé et l’AV. J-C Fondation de Smith de Michael pour la Recherche de Santé) pour subventionner et le soutien faisant cet article possible.