WO2004104877A1 - Systeme de reseau informatique securise pour la gestion de donnees personnelles - Google Patents

Systeme de reseau informatique securise pour la gestion de donnees personnelles Download PDF

Info

Publication number
WO2004104877A1
WO2004104877A1 PCT/IB2004/001696 IB2004001696W WO2004104877A1 WO 2004104877 A1 WO2004104877 A1 WO 2004104877A1 IB 2004001696 W IB2004001696 W IB 2004001696W WO 2004104877 A1 WO2004104877 A1 WO 2004104877A1
Authority
WO
WIPO (PCT)
Prior art keywords
access
data
server
mediator
documents
Prior art date
Application number
PCT/IB2004/001696
Other languages
English (en)
Inventor
Jean Gobet
Original Assignee
Iris-Geneve
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Iris-Geneve filed Critical Iris-Geneve
Priority to DK04733604.5T priority Critical patent/DK1627352T3/en
Priority to ES04733604.5T priority patent/ES2575510T3/es
Priority to EP04733604.5A priority patent/EP1627352B1/fr
Publication of WO2004104877A1 publication Critical patent/WO2004104877A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Definitions

  • the present invention relates to a secure computer network system for managing data, in particular personal data.
  • the invention relates in particular to a secure computer network system for managing medical records in a health system of a region or a country.
  • the general objective of putting patient data in current health systems in electronic form is to improve one or more of the following processes: administrative flow, in particular concerning the reimbursement of medical services; sharing and expanding the medical file for treating physicians, hospitals and emergencies; and drug prescription, in particular for its suitability for diagnosis and interactions to limit prescription errors, as well as its distribution to the pharmacist or to insurance for reimbursement.
  • patient data can range from simple administrative data (e.g. insurance and social security, as well as person identification) to patient medical information.
  • Health systems based on a smart card or centralization of a patient's computer data are summarized below: SESAM- Vitale Map, France
  • the inhabitants of France are equipped with a smart card, containing information on their social cover, information used for the communication between the patients, the doctors and the insurances.
  • the French social health network enables social, France better communication between patients and insurance, and offers secure messaging between health professionals. This network serves as a support for the smart card.
  • German project The German network offers a computerized medical record and tools to communicate securely and to support the daily work of doctors. Each patient is provided with a health card.
  • Picnic Denmark
  • a secure network, on which services such as secure messaging can be added, is developed in open source and aims to standardize European telecommunications industries and companies.
  • Hygeianet, Crête The Cretan health network offers better communication of the patient's computerized medical record between professionals and remote management of medical resources.
  • one of the aims of the invention is to provide a secure computer network system for data management which makes it possible to ensure a high level of data protection.
  • the invention aims to provide a secure computer network system for managing medical data in a regional, national or international health system.
  • Another object of the invention is to provide a secure computer network system for managing personal medical data, which makes it possible to improve the quality of information accessible to authorized users on the one hand, and on the other hand, to reduce administrative costs related to data processing while providing a high level of data protection vis-à-vis unauthorized third parties, or against abuse or negligence committed by authorized persons. It is advantageous to provide a secure computer network system for managing personal medical data in a health system, which allows rapid access to information from a medical record.
  • Objects of the invention are achieved by a secure computer network system for managing confidential data according to claim 1 and by a data management method in a secure computer network system according to claim 19.
  • a secure computer network system for the management of protected data comprises at least one access point infrastructure connected through a federated communication network closed to a plurality of server data receiver systems, each server data receiver system.
  • data comprising at least one database in which protected data constituting medical documents on patients are stored, and a technical consignment service mediator to manage access to the documents stored in the database, various documents forming a file medical relating to a person which can be distributed on several of the server systems data consignors located on different sites
  • the access point infrastructure comprising at least one file access mediator in the form of a server system with applications which controls and manage access of users to documents stored in data storage server systems.
  • the use of several servers consigning distributed data, for the storage of data from a medical file, accessible by means of a secure closed network (backbone network) makes it possible to ensure a high level of data protection due to the fact that even in the event of illegal (forced) entry into the secure network system, the recovery of data constituting a medical file requires an attack on a plurality of protected servers, and is therefore extremely difficult.
  • At least two levels of access rights, i.e. authorization to access the core network and personal data of a patient by means of a smart card, and access to different data from a specific medical file greatly reduce the risk of improper use of data and define access to the various elements of the file according to the role and identity of the authorized user.
  • FIG. 1 is a representation of the physical architecture of a computer network system for data management according to the invention
  • FIG. 1a is a representation of part of the physical architecture according to a variant
  • FIG. 2 is a representation of the logical architecture of a computer network system for data management according to the invention
  • FIG. 3 is a representation of the logical architecture of a computer network system for data management according to the invention, based on a J2EE platform (Java 2 Enterprise Edition);
  • FIG. 4 is a simplified representation of the physical architecture of two access points of a computer network system according to the invention.
  • FIG. 5 is a representation of the logical architecture of a part of the computer network system according to the invention, relating to access to value-added services;
  • FIG. 6 is a graphic representation of the logical architecture of a part of the computer network system according to the invention, relating to a value-added service, in the example illustrated a service for assistance with drug prescription;
  • FIG. 7 is a representation of the logical architecture of a part of the computer network system according to the invention, concerning a value-added service, in the example illustrated a logistics database;
  • Figure 8 is a diagram showing the main actions of logging on to the computer network system
  • FIG. 9 is a diagram illustrating the sequences of actions in the creation (publication) of a document in relation to a patient, for storage in the computer network system according to the invention.
  • FIG. 10 is a diagram showing the sequences of actions in the search for documents in a computer network system according to the invention.
  • FIG. 11 is a diagram showing the sequence of actions for consulting a document stored in the computer network system;
  • FIG. 12 is a diagram showing the sequence of actions for modifying access rights to the computer network system or to a file stored in the system;
  • FIG. 13 is a diagram showing the sequence of actions for the use of a value-added service, in the case in point the use of tools helping the drug prescription.
  • a computer network system for managing personal (confidential) medical data 1 comprises at least one access point infrastructure 2a, 2b, a plurality of data storage server systems 3a, 3b, 3c and a closed unifying communication network 4 connecting the access point infrastructures to the data storage server systems.
  • the data storage server systems, as well as the access point infrastructures, are located on different sites.
  • the computerized health system may further comprise one or more server systems interconnection points 5, connected on the one hand to the unifying communication network, and on the other hand to external computer networks, for example computer networks of other computerized regional or national health systems.
  • Users 6 access the access point infrastructure 2a, 2b of the computerized health system via the Internet 7 using a secure connection, for example an encrypted connection of VPN (Virtual Private Network) type.
  • VPN Virtual Private Network
  • Users can be healthcare professionals (doctors, nurses, pharmacists) or patients.
  • Each user is provided with a smart card 8 and a personal code (password) for authentication and authorization to access the computerized health system.
  • the computer from which the user accesses the computerized health system must therefore be equipped with a smart card reader 9.
  • This reader can take several forms, but is preferably compatible with the PC / SC standard (Personal Computer / Smart Gard) or RSA to ensure interoperability with all components of the authentication system (smart card, smart card reader, interface, and application).
  • the reader can be provided with a double slot in order to allow the insertion of two cards, for example the card of a healthcare professional, and a patient card when consulting the patient's medical file. This reassures the patient about the protection of his personal data, especially during his first consultation with the healthcare professional.
  • the smart card 8 constitutes an important element of the authentication of the user, whether the healthcare professional or the patient.
  • the data stored in a memory of the card microprocessor includes a unique identifier of the card holder, an authentication certificate, at least one private electronic key, and administrative data, such as surname, first name, date of birth, number insurance or social security, etc. However, the card does not contain medical data. When the card is connected to the smart card reader, it can be unlocked by the user's personal code. User authentication on the computerized health system is carried out by the transmission of the authentication certificate.
  • the private key stored in the microprocessor of the smart card allows the encryption and signature of data exchanged between the user and the computerized health system.
  • the access point infrastructure comprises an external VPN zone 8 connected to the internet network 7 through an access router 19a and a firewall 10a, a service zone 11 connected to the external zone 8, through a fire 10b, a test zone 13 connected to the external zone 8 through a firewall 10b, an internal VPN zone 22 connected to the service zone 11 through a firewall 10b, a high security zone 15 and a zone management 16 connected to the service area 11 through a firewall 10c.
  • the access point infrastructure may further include a public area 12 connected to the internet 7 through an access router 19a and a firewall 10a.
  • the service area 11 is connected through a firewall 10b and an internal access router 19b to the backbone communication network 4 connecting the access point infrastructure 2a, 2b to the data receiver server systems 3 and to the server systems interconnection points 5.
  • Public area 9 is independent of the internal part of the secure network system used for managing patient records. It contains a Web server 20 and a public Domain Name Server (DNS) 21.
  • DNS Public Domain Name Server
  • test area 13 the integration tests of the various components of the network are carried out before the integration of these components into the network. It is also from here that the updates are launched towards the network.
  • the external VPN zone 8 all the network connections from the user stations are established. This is where the secure tunnel between the user station and the access point infrastructure ends. It is this tunnel that allows secure and encrypted access between the user station and the computerized health system. It is also here that the first access controls to the system and the first intrusion detection are carried out. From the internal VPN zone 22, all the accesses are made to the external components of the backbone network 4, such as access to the data depositary server systems 3 and to the interconnection point server systems 5 for the inter-network connection. It is from here that new secure communication tunnels are established between the access mediators 25 and the external components of the backbone network 4.
  • the services area 11 are located all the so-called "public" services. This area is accessible by user stations 6 to allow them to access the various services offered by the computerized health system.
  • the high security zone 15 are located the services related to network security. This area is only accessible by the servers that host the computerized health system applications, and by administrative staff.
  • management zone 16 are located all the services related to the management of the infrastructure of the computerized health system. This area is only accessible by the administrative staff responsible for infrastructure management operations.
  • Routers 19a, 19b are used to connect the network to other networks where the various parties are located. These routers are placed on the periphery of the backbone network 4, of the access point infrastructure, 2a, 2b, of the interconnection point server systems 5, and of the data consignment server systems 3. They are configured to offer a first level of protection of the elements of the secure network that they connect.
  • the routers deployed within the computerized health system support the functions of packet filtering, event logging and network intrusion detection.
  • Firewalls are machines that protect all or part of a network by analyzing the content of packets, or even sessions. These machines are placed inside the network, just behind the router 19a and are an obligatory passage point to enter the part of the network that they protect.
  • the firewalls 10a, 10b, 10c deployed within the computerized health system support the functions of packet filtering, packet inspection, event logging, anti-virus and active defense.
  • Peripheral firewalls 10a these machines are used in all access points. They are located between the edge router 19a and the VPN concentrator 23 and make it possible to protect the network of the healthcare system from external attacks. During "normal" access to the health system network, these machines cannot inspect the contents of the packets because they are encrypted in a secure tunnel (see below). These firewalls are configured to perform packet-level control (source and destination addresses and ports). The periphery firewalls are accessed by all the user stations 6 of the secure network system as well as by all the "public" accesses to the servers 20, 21 of the public area 12.
  • Internal firewalls 10b these machines are used on all parts of the secure network system connected to the backbone network 4. They are located on the parts of the system which communicate with the backbone network 4 and allow the packets to be inspected. - outside secure tunnels to protect the public part of the system accessible during sessions by healthcare providers or patients.
  • the internal firewalls of the interconnection server systems 5 are Access by technical access mediators 25 and service mediators 24. They do not require additional functions than those set out above.
  • the internal firewalls of the access point infrastructures 2a, 2b are accessed by all user stations. Since the service, high security and management zones use private Internet Protocol (IP) addresses, these firewalls perform Network Address Translation (NAT) in addition to the functions set out above.
  • IP Internet Protocol
  • 10c administrative firewalls these machines are used in all access point infrastructures 2a, 2b. They are located beyond the service area 11 and make it possible to protect the high security and management areas 15, 16.
  • the administrative firewalls 10c are accessed by access mediators 25, the VPN concentrators 23 and the personnel responsible for the operation of the computerized health system infrastructure and the management of public electronic keys PKI (Public Key Infrastructure). All the functions set out above are activated on these machines, the parameters of which are checked frequently to ensure very high security in the areas they protect.
  • PKI Public Key Infrastructure
  • VPNs secure tunnels
  • VPNs Two types of VPN are present in the computerized health system •
  • User VPN these VPNs use SSL (Secure Socket Layer) technology and are established between a user station 6 and the access point infrastructure 2a, 2b when accessing the computerized health system.
  • SSL Secure Socket Layer
  • the SSL protocol is used to establish a session with one of the SSL 23 concentrators of the access point infrastructure.
  • Authentication with the SSL VPN concentrator 23 uses the authentication certificate retrieved from the user's smart card 8.
  • VPN Interconnection network 26 these VPNs use IPSec technology or SSL technology and are established between the internal VPN servers of the access point infrastructures 2a, 2b and the VPN server 26 of the data consignor server system 3 or of the server system d 'network interconnection 5. These secure tunnels are permanent between two sites and do not require authentication by users or access mediators since communication takes place between trusted elements through the backbone network 4. Since only the backbone network 4 which transports the data is deemed “insecure", this channel alone will be encrypted. The establishment of these VPNs is authenticated by an authentication certificate issued for each data storage server system and each access point infrastructure.
  • an intrusion detection system is installed in the access point infrastructure in order to allow reactivity. fast in case of violation.
  • Another important function of the IDS is to enable the reconstruction and tracing of events by analyzing the logs and other data collected.
  • IDS provides detection, logging, alert, response and summary services against any attack or intrusion attempt within the secure network system. They can interface with other IDS and have a language allowing to define personalized rules. IDS includes functions of the "network” (NIDS) and “machine” (HIDS) type.
  • the architecture of the intrusion detection system is distributed and redundant, and includes the following elements:
  • a security management server system 28 comprising software which collects all the data emitted by the IDS probes 27 and centralizes this data for analysis and, if necessary, reacts in order to warn the operators and / or block these intrusion attempts.
  • This software is present in the management zone 16 of each access point infrastructure 2a, 2b in order to offer an adequate level of redundancy. All server security management systems communicate with each other in order to exchange the relevant information necessary for the proper functioning of the system.
  • IDS 27 probes which are specialized "sniffers” that analyze all the packets, protocols and sessions that pass through the equipment they monitor.
  • the probes are present on all the critical equipment of the secure network system, in particular on the external router 19 of the access point infrastructure and on the internal and external firewalls.
  • the probes 27 communicate with the nearest security management server system 28 and collect all the information necessary for this server system to carry out its mission.
  • the services area 11 of the access point infrastructure 2a, 2b comprises a server system acting as a technical access mediator (hereinafter "access mediator") to the protected data, in particular to medical records, the mediator access comprising for example an access server 25.
  • the access mediator materializes the point of entry into the health system computerized applications linked to confidential medical data distributed over the network and used by healthcare professionals and patients.
  • the access mediator 25 hides the internal structure of the network and makes it possible to keep control over security and over the interfaces exposed to users 6.
  • the computerized health system according to the invention can comprise several servers. access 25, for example each being shared by different groups of users. To simplify the operation of access servers and increase their efficiency and speed, it is however preferable that they be grouped in the access point infrastructures 2a, 2b.
  • Access servers store mainly technical data and not medical data in memory, although they may include technical caches to temporarily store certain search results, such as server addresses and data constituting the file patient's medical device in order to be able to access it more quickly when a network session is opened by a user. However, once the session is closed, the data stored in this cache is deleted / lost.
  • the main functions of the technical access mediator 25 are (see interactions in Fig. 2):
  • search for data from a medical file (see also Fig. 10) on request from a consultation application, where the file access mediator questions all the consignment service mediators by submitting the request for documents to them , then collects the responses or no responses, consolidates the result and returns it to the application that initiated the request.
  • the result of a search consists of a list of references to searchable documents; documents to which access is not authorized are not announced;
  • the file access mediator 25 updates the access profile stored with the consignment service mediator 29 from the patient's trusted doctor;
  • the access mediator is used by the components for managing patient files, for consulting virtual files 50 and for managing access profiles 51;
  • the access mediator uses the security services 53 for role-based authentication and authorization, thanks to the certificates contained in the smart cards of the patient and the healthcare professional;
  • the access mediator accesses all of the consignment service mediators 29 for the publication, search, consultation and management of access profiles
  • the access mediator accesses all of the application logs to reconstruct access to a patient's file; • the access mediator accesses the register (directory) of health professionals 56 to obtain the necessary information, such as the identifier of the consignee of the health professional or his role;
  • the access mediator accesses the configuration information of the computerized health system 57, such as the address of the consignees.
  • the services area 11 also includes a server system acting as a specialized technical access mediator 24 (hereinafter “specialized access mediator”) which materializes the access point for user applications to value-added electronic services (ci -after “value-added services” or “VAS”) such as assistance with prescription drugs making part of the informed health system.
  • the electronic medication prescription assistance system 31 may include a database storing in electronic form a compendium of drugs and software for determining the adequacy of a diagnosis as a function of the interaction between drugs, allergies and other conditions appearing in the patient's medical record.
  • the specialized access mediator 31 can comprise a server which essentially stores only technical data and has the following functions:
  • the specialized access mediator interacts with the users and the other components of the secure computer network system according to the following main collaborations (see Figures 2 and 5):
  • the specialized access mediator calls, and is called by, the value-added service 31a, 31b to which he is linked; • the specialized access mediator 24 (24a, 24b) accesses the consignment service mediators 29 in order to search for and consult medical documents;
  • the specialized access mediator uses the electronic security services 53 arranged in the high security zone 15 for authentication and authorization based on the roles of the users;
  • the specialized access mediator accesses the configuration information of the infrastructure of the secure computer network system (such as the addresses of the consignee server systems), this information being stored in a server infrastructure management system 33 in the management area 16.
  • Value-added services such as drug databases and logistical support, can be centrally implemented as they do not store patient information. This centralization is however only “logical”, and does not exclude a “physical” decentralization for questions of performance and accessibility.
  • Figure .6 shows a possible logical architecture for the electronic prescription assistance service. This service is called from a value-added service mediator 24b, itself called by a specialized access mediator 24a (not shown in Figure 6).
  • This VAS has its own data, in particular a database of drugs (compendium) 58 and potential interactions between them.
  • the interaction detection engine has access 59 to the patient's current prescriptions.
  • the service area 11 may further include a secure messaging server 34 used mainly for sending electronic messages between users 6b of the computerized health system, or for transmitting and storing protected data , such as a patient's medical data, in a data storage server system 3a.
  • a secure messaging server 34 used mainly for sending electronic messages between users 6b of the computerized health system, or for transmitting and storing protected data , such as a patient's medical data, in a data storage server system 3a.
  • electronic messages are signed with the private key of the healthcare professional's smart card and sent to an address corresponding to another actor, for example 123456789@e-toile.ch where 123456789 is the identifier of the actor.
  • the mail server only accepts emails from the VPN, the signature of which corresponds to a healthcare professional known to the secure network system.
  • the healthcare professional can therefore add a message as a document attached to the patient in the database of the server system that consigns data to the issuing healthcare professional.
  • the high security zone 15 comprises a server system 32 comprising an electronic directory of health professionals 57 (hereinafter directory of PDS) used to authorize user access according to their roles, an electronic certificate management system 35 ( hereinafter PKI manager), which stores and manages the electronic certificates and revocation lists of certificates which have been issued, and an electronic certification authority 36 (hereinafter certification authority) which acts as the certification authority of the organization of the computerized health system.
  • PKI manager an electronic certificate management system 35
  • certification authority 36 hereinafter certification authority
  • the electronic certificate management system 35 and the electronic certification authority 36 can be located outside the secure computer network system in a external secure system, under the control of the organization responsible for the production of smart cards.
  • the high security zone 15 may further comprise an internal domain name server (hereinafter internal DNS) 37 for managing the names of the internal hosts.
  • internal DNS internal domain name server
  • Each of the components of the high security zone can be supplied in the form of a server system.
  • the PDS 32 directory server system has the main role of listing the health professionals affiliated with the computerized health system and gathering the necessary information about them!
  • the PDS 32 directory server system essentially stores administrative data, such as surname, first name, address, specialty, etc. of the healthcare professional, digital certificates of each healthcare professional, information on the roles and / or authorizations on the healthcare professionals, and the addresses or other information on the server system data receiver 3a associated with the user.
  • the main functions of the directory of health professionals are as follows:
  • HMI man-machine interface
  • administration responds to commands defined by the common application administration interface.
  • the directory of health professionals 57 is used by the secure messaging service 34 in order to obtain the public key of the recipient of an encrypted message.
  • the access mediators 25 also use the directory in order to authorize requests according to the role of a health professional.
  • the PKI 35 manager can be a standard product on the market, for the production, distribution, revocation and verification of electronic certificates.
  • the certification authority server system 36 has the role of authenticating a user of the network and of authorizing certain requests according to his role.
  • the certification authority server system essentially stores data on the certificates of the certification authority that issued the user's smart card certificate as well as revocation or access lists.
  • the main functions of the certification authority 36 are as follows:
  • administration responds to commands defined by the common application administration interface.
  • the certification authority is mainly used by access mediators 25 or specialized access mediators 24. It should be noted that the data in the revocation lists can also be stored on other servers, and in this case l Certification authority 36 will access these servers in order to check the revocation list.
  • the management area 16 includes a server system for managing the infrastructure 33 of the computerized health system which allows the operation of the infrastructure of the computer network by providing the following electronic services:
  • the management area 16 further comprises an electronic application management system 38 for administering and managing the applications of the computerized health system, in particular the administration of the applications and the management of the configuration of the various components and applications of the system, as well as cable distribution to client workstations (see also under deployment server).
  • an electronic application management system 38 for administering and managing the applications of the computerized health system, in particular the administration of the applications and the management of the configuration of the various components and applications of the system, as well as cable distribution to client workstations (see also under deployment server).
  • the management area 16 can also include a security management server system 28 for reconstructing or tracing events by analyzing the logs and other data collected by the intrusion detection probes 27 installed at the critical points. of the computerized health system.
  • the management area can also include a system 39 for producing compact discs or other media to provide the file to patients who request it, when they go abroad for example.
  • the infrastructure management system 33 includes a configuration register 57 which stores the common information concerning the logical and physical configuration of the computerized health system.
  • the data stored in this register also includes the addresses of mediators, value-added services, and common services such as newspapers.
  • the register which is accessible by all the internal components of the computerized health system has the functions:
  • the application management server system 38 which allows the operation and control of the application components of the computerized health system, can have the following functions:
  • the management area 16 may also include a deployment server which makes available to healthcare professionals updated software allowing access to the services of the computerized healthcare system.
  • the information portal server system (Web server) has the main role of providing information to the public and to healthcare professionals.
  • This server system stores static HTML data and data structured as required, this server communicating with the administration area 16, in particular the server management system 33 and management and application system 38 in order to obtain the 'state of the system.
  • the main functions of the information portal server system 20 are:
  • the portal server system is accessible without a VPN connection.
  • the data consignor server system 3 which is connected to the backbone network 4 by an internal router 19b and an internal VPN secure tunnel 26 through an internal firewall 10b, comprises a server system acting as technical mediator of consignment services 29 (ci -a consignment service mediator) and a document server 40.
  • the consignment service mediator 29 manages access to the data stored in the document server 40 on call from the access mediators 25, 24 in order to access the various components of the data consignment server system 3.
  • the consignment services mediator also accesses local logging services 59 in order to keep track of all the operations performed by one or more components of the data consignment server system.
  • the main functions of the data consignor mediator are as follows:
  • search on receipt of a request to search for documents from a file access mediator, the consignment service mediator searches the document server 40 for document references corresponding to the search criteria; verify and return the results to the file access mediator; verify the correct application of access rights;
  • the consignment service mediator protects the rest of the network against errors of the consignee (including processing of possible time-outs);
  • administration responds to commands defined by the common application administration interface.
  • each data consignor mediator only knows the documents he manages and the patients for whom he has a document, the complete file of a patient can therefore be distributed to a plurality of data consignors thus avoiding the storage of a complete medical file on a single server or central register. This greatly increases the protection of a patient's medical data, given that it is extremely difficult for a third party to cross a plurality of secure systems in order to reconstruct the complete file.
  • the service logging mediator is preferably physically close to the reference server 41 and the document server 40.
  • the role of the reference server is to make it possible to find, on the basis of search criteria, the references on the documents recorded.
  • the data stored on the reference server are essentially the references to the documents stored in the document server 40, the attributes of these documents and the indexes.
  • the reference server can also include, or at least access, a register (base) of access rights 60 specific to documents, this register preferably being located in at least one data storage server system 3, in particular the system consignee server of the patient's trusted doctor.
  • the main functions of the reference server 41 are as follows:
  • reference server 41 could be integrated or be part of the document server 40, or at least share the same data structures.
  • a file access mediator When searching for documents (see also Fig. 10), a file access mediator questions all the consignment service mediators and expects a positive or negative response from each of them. This leads to loading the network, the access mediator (who must manage a large number of interlocutors simultaneously), and each service mediator who must respond to each request which reaches him. This constitutes the risk that the performance of request operations is below the acceptability threshold, and that the increase, in the long term, in the number of service agents (and therefore in the number of service mediators and reference servers) degrades overall network performance. In order to prevent these potential problems, it is possible to set up intermediate reference servers, indexing the existence of documents or, more broadly, of a file relating to a patient in a particular consignee, as shown in Figure 1a.
  • the register of access rights specific to documents 61 has the role of managing the list of access exceptions, in particular those which are required by the patient. This register can be integrated into the reference server using the same data structures as the latter, but could also be a separate entity from the reference server.
  • the register of specific access rights to documents 61 (also called "exception register”) has the following main functions:
  • the consignment service mediator registers a new exception the first time a professional consults a document in order to guarantee subsequent access even if the restrictions are changed by the user; • collaboration with the other components of the consignee for maintenance operations (eg preservation of referential integrity in the event of erasure of documents).
  • the document server system 40 has the role of reliably and permanently storing the documents of a patient's medical record.
  • the data stored on the database of this server can be encrypted or not.
  • the main functions of the document server system are:
  • the data consignor mediator 29 accesses the database of the document server 40 during the publication, search and consultation of documents, as shown in FIGS. 9, 10 and 11.
  • the term “publication” relating to the documents in the files is used for the operation of creating and storing documents on a document server, making it available to users of the computerized health system.
  • the computerized health system includes an application 63 for publishing patient files which generates and stores the new documents according to the procedure as illustrated in FIG. 9.
  • the publication application accesses the certificates and the functions of the smart card 8 via the smart card reader 9 and delegates all requests from the network to the file access mediator 25 of the access point infrastructure 2a, 2b.
  • the main functions of this application are:
  • the patient's smart card is not necessary to publish documents, but the patient's identifier is.
  • the application does not allow modification of the published documents, in order to avoid abuse, and in the event of modification it is necessary to make new versions of the documents.
  • the application could be implemented by a standard GUI (Graphical User Interface), or by a WEB presentation server accessed by a browser.
  • the computerized health system also includes a file consultation application 50 in order to allow a health professional or a patient to consult his file stored in the various server systems data consignors, according to the authorizations and the access profile.
  • This application accesses the certificates and functions of the smart card via the smart card reader and delegates all requests to the file access mediator 25 in the access point infrastructure 2a, 2b.
  • This application can also collaborate with external applications to view certain types of documents (for example Acrobat, viewer graphics).
  • this consultation application could be implemented by a standard GUI client or by a WEB presentation server accessed by a browser.
  • the main functions of the file viewing application are:
  • a document validation application 54 which ensures that the documents published meet the requirements of the secure network.
  • This application is used by the file access mediator 25 during a publication and has the following main functions:
  • administration responds to commands defined by the common application administration interface
  • An important application of the computerized health system is the application for managing the access profile 51 allowing a patient to manage his access right profile and to view the log of accesses made to his file.
  • This application accesses certificates and functions of smart card 8 via card reader 9 and delegates all requests to the file access mediator 25.
  • This application could be implemented by a standard GUI or by an accessed WEB presentation server through a browser.
  • the main functions of the access profile management application 51 are as follows:
  • the access profile of a patient is stored in an access profile register 60 (also called access rights database) which is preferably stored in a consignment services mediator 29 in a decentralized manner to increase the difficulties. illicit access to restrictions on access to documents.
  • an access profile register 60 also called access rights database
  • This register is used by the consignment services mediator at the request of the file access mediator 25 during the initialization of a session or in the context of the management of patient access rights.
  • the main functions of the access profile register are:
  • administration responds to commands defined by the common application administration interface.
  • Access by a health professional to documents published on the computerized health system network is subject to verification with three levels of control.
  • the first level corresponds to the role of the originator of a request. This may for example be a doctor, nurse, pharmacist, and is linked to certain authorizations to access network functions. For example, a nurse could consult but not publish.
  • the second level consists of the access profile defined by the patient. This allows, for example, to prohibit treating professionals from accessing all gynecology-type files and documents, but authorize access to trusted doctors.
  • the third level is materialized by specific exceptions to doctors and particular documents or records. It is for example possible to authorize access to the report of the gynecological visit on a specific date to Doctor X, treating doctor but not trusted.
  • One solution is to keep the access profile with the trusted physician's data consignor, and to have access lists ACL (Access Contrai List) for each document, these ACLs containing only the access exceptions, not the profile itself.
  • ACL Access Contrai List
  • the file access mediator 25 In order to exercise the access controls linked to the profile, the file access mediator 25 must provide it to the consignment service mediators 29 during each request. For a search query (see Figures 2 and 10), the file access mediator must therefore retrieve the access profile in the access rights database 60 from the consignment mediator 29 of the server system consignor of documents of the trusted doctor, before interrogating all the bases of the rights of access. 'access 60', 60 "from other consignment mediators 29 ', 29". In order to avoid this additional sub-request for each request from the client software, the access mediator 25 can temporarily keep the access profile in the session information.
  • the modification of the access profile (see also Fig. 12) by the patient implies only the update of the profile stored by the document consignee of the doctor of trust, without modification of the ACLs of all the documents.
  • Another solution for implementing the access control strategy would be for the ACL of each document to include the access profile defined by the patient, so that compliance with the ACL alone is sufficient to exercise the second and third levels 2 and 3 of control.
  • the access profile it is always stored with the server system which consigns the doctor's data. When updating the profile, it is then necessary to update the profile stored in the trusted physician's document consignee, and modify all the ACLs of all the documents already published.
  • the opening of a session by a user application is carried out after the establishment of the secure VPN tunnel between the workstation of the healthcare professional 6 and the access point infrastructure 2a, 2b. Since the establishment of the VPN implies authentication of the VPN server 23 by the user and since all the servers located within the access point infrastructure can be considered secure, it is not necessary that the user application re-authenticate the servers to which it is addressed (an access mediator for example). On the other hand, it is necessary to identify and authenticate the user with the certification authority server 36 (also called "security server”) so that the latter knows the identity of the person opening an application session and performs actions according to this identity and the associated rights.
  • the certification authority server 36 also called "security server”
  • a healthcare professional is attached to a specific data storage server system 3a, 3b, 3c that he can choose.
  • a document is published, it is stored in this data consignment server system after having passed various levels of authorization and validation, as shown in Figure 9.
  • Figure 10 illustrates the sequence of a document search request which implements two very important mechanisms:
  • the access profile is transmitted by the access mediator to the various service mediators during the search.
  • This access profile is firstly retrieved by the exhaustive search of service mediators in order to find which one has the patient access profile (the consignment services mediator (MS) of the patient's trusted doctor will be the only one to answer positively).
  • the access mediator can keep it as session data in order to speed up subsequent requests (other searches or consultations).
  • consulting a document consists in obtaining an entire document according to its reference.
  • the file access mediator 25 directly addresses the consignment service mediator 29 concerned.
  • the access rights have been verified during the search stage, they must be checked again during the consultation in order to prepare in case a reference is transmitted to another person who does not have the required rights .
  • the patient has the possibility of modifying information access profiles, rights being divided into two distinct types: restrictions based on document profiles and exceptions allowing access to specific documents or files by particular people.
  • the file access mediator 25 contacts the consignment service mediator 29 of the patient's trusted doctor and gives him the new profile to save.
  • the file access mediator transmits the exceptions that concern him to each consignment service mediator 29 '.
  • Exceptions are stored in the access rights database 60 'of the server system that consigns the corresponding files.
  • FIG. 13 shows how the value-added service 31a, 31b, in this case aid for drug prescription, is integrated within the secure network.
  • Prescribing drugs electronically has real added value if supported by a drug interaction detection system.
  • the prescription service obtains information on all the prescriptions in progress for the patient concerned from the consignment service mediators 29, 29 ′ in order to detect any incompatibilities between the drugs prescribed by different professionals.
  • the prescription assistance system searches for all current prescriptions published on the computerized health system, despite the access restrictions defined by the patient. However, in the event of proven incompatibility, the prescriber is warned, but in such a way that information to which he normally does not have access, is not disclosed to him.
  • the interconnection point server system 5 includes an external service mediator 30 which acts as a gateway between the computerized health system and other medical or value-added networks.
  • the main functions of this interconnection point server system 5 are as follows:
  • the computerized health system also includes application logs 55, 58, 59 for keeping track of the operations performed by one or more components of the network, these applications being accessible by any local component.
  • application logs 55, 58, 59 for keeping track of the operations performed by one or more components of the network, these applications being accessible by any local component.
  • each technical mediator is provided with its own application log which allows post-clearance checks in the event of problems (illicit access, poor therapeutic decision following information provided by the network , etc.).
  • Data processed by application logs are a time stamp (timestamp), the identification of users participating in the operation, the nature of the operation, the identification of the documents concerned, and other relevant parameters of the operation.
  • administration responds to commands defined by the common application administration interface.
  • the backbone network 4 is a high-speed communication network between the access point infrastructures 2a, 2b and the data consignment server systems 3 as well as the interconnection point server systems 5. All the data circulating on the backbone network is encrypted, the data coding / decoding function being provided by the VPN concentrators located in the access point infrastructures and in each data consigning server system and each interconnection point server system.
  • the backbone network is, in the example described, a closed logical network, such as a closed regional or metropolitan network (city network) using a fiber optic infrastructure, dedicated to a group of authorized users. It is also possible, as far as it is available, to have a closed network based on private infrastructure, that is to say single use for the computerized health system.
  • the computerized health system preferably has at least two access infrastructure points 2a, 2b located on different sites in order to increase the security of technical and administrative data backup and to ensure access and operation of the network in the event of failure of one or more components of one of the access point infrastructures.
  • the redundancies implemented at the access point level are at two levels:
  • each access point infrastructure is capable of operating independently and of taking over all of the traffic handled by the other in the event of a breakdown or preventive maintenance operation on the latter;
  • a direct fiber optic link 17 connects the two intersite VPN concentrators 18 of each access point infrastructure.
  • the two access point infrastructures are also interconnected by direct fiber optic links in the service and zone areas. high security. This allows the replication of the different servers and data which must be consistent between the two sites without unnecessarily overloading access to the backbone network or the internal path through one or even two firewalls.
  • Virtual local area networks (VLANs) common to the two access point infrastructures can thus be created, for example by using the 802.1q protocol on Gigabit Ethernet.
  • three pairs of optical fibers connect the access point infrastructures to provide redundancy and replication functions between the two access points.
  • a Web services interface based on SOAP / HTTP can be used in the current state of technology.
  • the mediators being technical software components internal to the secure network system, the choice of an interfacing standard between them depends on their implementation.
  • a J2EE-based implementation can use RMI / IIOP, a .NET-based implementation can use .NET Remoting, but other possibilities exist: JXTA (peer to peer communication), Web services, message queues and others .
  • the database interface for accessing databases can be done by the standard standards that are JDBC in the Java or ODBC world, and ADO in the Microsoft world.
  • the administration interface of components managed by the secure network system can use the standards most appropriate to the implementation platform (RMI / IIOP, JMX, Web Services, WMI ).
  • the secure network system includes a central directory of health professionals used by users through the secure messaging service, but also by health professionals. Access to this directory can be done by the LDAP standard.
  • the secure network system maintains a register of all the service mediators that are part of the network, so that the access mediators know where to redirect requests for handling documents. This registry can be seen as an LDAP network resource.
  • FIG. 3 illustrates the transposition of the logical architecture model according to the technological choices exposed above.
  • This solution is based on Java / J2EE technologies, but other solutions using other technologies such as .Net are possible.
  • the architecture is of n-tier type: it is divided into layers clearly separating the responsibilities of presentation, business logic, and data storage.
  • the upper part represents the client layer, physically present in healthcare professionals accessing the computerized healthcare system.
  • the central part materializes the presentation layer and the business services linked to the computerized health system: access and service mediators, the messaging server, value-added services.
  • the lower part shows the technical components of the computerized health system as well as the databases.
  • the interfaces adopted are based on open technologies independent of a specific platform (HTTP, SOAP, SMTP, POP3, LDAP ).
  • HTTP HyperText Transfer Protocol
  • SOAP Simple Object Access Protocol
  • SMTP Simple Object Access Protocol
  • POP3 LDAP
  • the more technical interfaces used within the secure network system are linked to technologies from the Java world, in this case RMI / IIOP and JDBC essentially.
  • the Web presentation layer uses HTTP services serving static HTML pages (Apache, for example) and dynamic pages such as JSP and Servlet.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Système de réseau informatique sécurisé pour la gestion de données protégées, accessible par des utilisateurs (6) comprenant des professionnels de santé et des patients munis de cartes à puce pour l'authentification et l'autorisation des utilisateurs dans le système, le système comprenant au moins une infrastructure point d'accès (2a, 2b) reliée à travers un réseau de communication fédérateur fermé (4) à une pluralité de systèmes serveurs consignataires de données (3a, 3b, 3c) situés sur des sites différents, chaque système serveur consignataire de données comprenant au moins une base de données (62) dans laquelle des données protégées constituant des documents médicaux sur des patients sont stockées, et un médiateur technique de service de consignation (29) pour gérer l'accès aux documents stockés dans la base de données, différents documents formant un dossier médical relatif à une personne pouvant être distribués sur plusieurs des systèmes serveurs consignataires de données, l'infrastructure point d'accès comprenant au moins un médiateur d'accès aux dossiers sous forme d'un système serveur avec applications qui contrôle et gère l'accès d'utilisateurs (6) aux documents stockés dans les systèmes serveurs consignataires de données.

Description

SYSTEME DE RESEAU INFORMATIQUE SECURISE POUR LA GESTION
DE DONNEES PERSONNELLES
La présente invention concerne un système de réseau informatique sécurisé pour la gestion de données, notamment de données personnelles. L'invention concerne en particulier un système de réseau informatique sécurisé pour la gestion de dossiers médicaux dans un système de santé d'une région ou d'un pays.
Il existe de nombreux projets pour créer, développer et maintenir des réseaux de santé informatisés dans le but, entre autre, d'améliorer les prestations aux patients et de réduire les coûts des systèmes de santé. La mise sous forme électronique de données sur des patients dans les systèmes de santé actuels ont pour objectif général l'amélioration de l'un ou de plusieurs processus suivants : le flux administratif, notamment concernant le remboursement des prestations médicales ; le partage et l'étoffement du dossier médical pour les médecins traitants, les hôpitaux et les cas d'urgence; et la prescription médicamenteuse notamment pour son adéquation au diagnostique et aux interactions pour limiter des erreurs de prescription, ainsi que sa diffusion chez le pharmacien ou à l'assurance pour son remboursement.
Dans les systèmes en vigueur ou sous forme de projets pilotes dans différents pays ou régions, on propose soit le stockage de certaines données sur le patient dans des cartes à puce, soit le stockage de données sur le patient sur un serveur centralisé, soit une combinaison des deux, les données sur le patient pouvant s'étendre à de simples données administratives (par ex. sur les assurances et la couverture sociale, ainsi que l'identification de la personne) jusqu'aux informations médicales du patient. Des systèmes de santé basés sur une carte à puce ou une centralisation de données informatiques d'un patient sont résumés ci-après : Carte SESAM- Vitale, France
Les habitants de France sont équipés d'une carte à puce, contenant des informations sur leur couverture sociale, informations utilisées pour la communication entre les patients, les médecins et les assurances.
Réseau de santé Le réseau de santé social français permet une social, France meilleure communication entre les patients et les assurances, et propose une messagerie sécurisée entre professionnels de la santé. Ce réseau sert de support à la carte à puce.
Projet allemand Le réseau allemand propose un dossier médical informatisé et des outils pour communiquer de manière sécurisée et pour soutenir le travail quotidien des médecins. Chaque patient est muni d'une carte de santé.
Picnic, Danemark Un réseau sécurisé, sur lequel peuvent se greffer des services tels que la messagerie sécurisée, est développé en open source et a pour but d'uniformiser les industries et les entreprises de télécommunications européennes.
Rimouski, Québec Une carte de santé expérimentale a été distribuée aux habitants de la région de Rimouski. Elle contenait toutes les informations médicales du patient (vaccins, allergies, médicaments).
Laval, Québec La même carte de santé expérimentale que celle de Rimouski a été distribuée aux habitants de Laval, mais l'architecture du réseau de données a été modifiée, avec un dossier patient centralisé.
Hygeianet, Crête Le réseau de santé crétois propose une meilleure communication du dossier médical informatisé du patient entre professionnels et une gestion des ressources médicales à distance.
Projet Slovène Chaque habitant de Slovénie est équipé d'une carte de santé munie d'informations sur sa couverture sociale, ainsi que les médicaments prescrits et les informations d'urgence (vaccins, allergies, etc.).
Projet danois Ce projet a pour but d'enquêter et d'étudier les différents projets existant dans le pays, voir dans les pays nordiques, et d'en tirer des lignes fédératrices.
Banque Carrefour Ce projet belge propose un portail gouvernemental sur tous les services sociaux, y compris ceux de la santé, une identification unique et nationale des habitants belges et un transfert sécurisé de leurs données entre services pour éviter la re-saisie.
Un des désavantages principaux des systèmes basés sur le stockage de données, notamment de données sur le dossier médical d'un patient, sur une carte à puce, est que ces données peuvent être perdues. D'autre part, en cas d'urgence l'accès au dossier dépendra de la présence de la carte à puce. Un autre désavantage de stocker les données d'un dossier médical sur une carte à puce est que, même avec l'accord du patient, les professionnels de santé (fournisseurs de soins, pharmaciens, médecins, infirmières, hôpitaux et autres prestataires de services médicaux) n'ont pas accès aux données en tout temps. Ces désavantages sont éliminés par le stockage des données concernant un patient sur un serveur d'un réseau informatique, accessible par les différents prestataires de service. Un désavantage majeur d'un tel système se situe au niveau de la sécurité et de la confidentialité des données sensibles. La protection des données personnelles, tel que les documents d'un dossier médical d'un patient, est importante non seulement vis-à-vis de tiers non autorisés mais également vis-à-vis d'utilisateurs autorisés qui abuseraient de leur droit d'accès à ces données, ou qui seraient négligents, et de par cette négligence permettraient à dès tiers de prendre connaissance des données. Bien que les réseaux sécurisés et l'échange d'informations cryptées permettent de pallier les risques d'une entrée illicite dans un réseau informatique de santé et d'un accès illicite aux données personnelles stockées dans un serveur ou circulant sur le réseau entre utilisateurs, les abus ou la négligence vis-à-vis de ces données par un utilisateur autorisé restent un problème.
Au vu des inconvénients précités, un des buts de l'invention est de fournir un système de réseau informatique sécurisé pour la gestion de données qui permet d'assurer un niveau élevé de protection des données. En particulier, l'invention vise à fournir un système de réseau informatique sécurisé pour la gestion de données médicales dans un système de santé régional, national ou international.
Un autre but de l'invention est de fournir un système de réseau informatique sécurisé pour la gestion de données médicales personnelles, qui permet d'améliorer la qualité des informations accessibles aux utilisateurs autorisés d'une part, et d'autre part, de réduire les frais administratifs liés au traitement des données tout en offrant un haut niveau de protection des données vis-à-vis de tiers non autorisés, ou contre des abus ou négligences commis par des personnes autorisées. Il est avantageux de fournir un système de réseau informatique sécurisé pour la gestion de données médicales personnelles dans un système de santé, qui permet un accès rapide aux informations d'un dossier médical.
Il est avantageux de fournir un système de réseau informatique sécurisé pour la gestion de données médicales personnelles où l'accès aux données constituant un dossier médical peut être défini de manière variable par rapport aux pièces accessibles et dans le temps pour chaque utilisateur autorisé.
Il est avantageux de fournir un système de réseau informatique sécurisé pour la gestion de données médicales, qui est flexible, de manière à assurer sa pérennité et la possibilité de s'intégrer à d'autres réseaux informatiques existants ou futurs.
Des buts de l'invention sont réalisés par un système de réseau informatique sécurisé pour la gestion de données confidentielles selon la revendication 1 et par un procédé de gestion de données dans un système de réseau informatique sécurisé selon la revendication 19.
Dans la présente invention, un système de réseau informatique sécurisé pour la gestion de données protégées comprend au moins une infrastructure point d'accès reliée à travers un réseau de communication fédérateur fermé à une pluralité de systèmes serveurs consignataires de données, chaque système serveur consignataire de données comprenant au moins une base de données dans laquelle des données protégées constituant des documents médicaux sur des patients sont stockées, et un médiateur technique de service de consignation pour gérer l'accès aux documents stockés dans la base de données, différents documents formant un dossier médical relatif à une personne pouvant être distribués sur plusieurs des systèmes serveurs consignataires de données localisés sur des sites différents, l'infrastructure point d'accès comprenant au moins un médiateur d'accès aux dossiers sous forme d'un système serveur avec applications qui contrôle et gère l'accès d'utilisateurs aux documents stockés dans les systèmes serveurs consignataires de données.
Les revendications dépendantes décrivent d'autres aspects avantageux de l'invention.
Avantageusement, l'utilisation de plusieurs serveurs consignataires de données distribuées, pour le stockage de données d'un dossier médical, accessible au moyen d'un réseau fermé sécurisé (réseau fédérateur) permet d'assurer un haut niveau de protection des données du fait que même en cas d'entrée illicite (forcée) dans le système de réseau sécurisé, la récupération de données constituant un dossier médical nécessite une attaque sur une pluralité de serveurs protégés, et est donc extrêmement difficile. Les au moins deux niveaux de droit d'accès, c'est-à-dire l'autorisation d'accéder au réseau fédérateur et aux données personnelles d'un patient au moyen d'une carte à puce, et l'accès à différentes données d'un dossier médical spécifique, permettent de fortement réduire le risque d'utilisation abusive des données et de définir l'accès aux différents éléments du dossier en fonction du rôle et de l'identité de l'utilisateur autorisé. La journalisation des accès aux données et d'autres opérations sur les serveurs permet d'identifier et donc de prévenir les abus par des utilisateurs. L'accès aux données protégées est néanmoins possible en cas d'urgence par certains professionnels de santé tels que les hôpitaux et les médecins traitants, la sécurité étant fournie par le journal d'accès d'une part et , d'autre part, par la nécessité d'utiliser un moyen d'autorisation et d'authentification forte avec une carte à puce.
D'autres buts et aspects avantageux de l'invention ressortiront des revendications, de la description ci-après, et des dessins annexés dans lesquels :
La figure 1 est une représentation de l'architecture physique d'un système de réseau informatique pour la gestion de données selon l'invention ; La figure 1a est une représentation d'une partie de l'architecture physique selon une variante ;
La figure 2 est une représentation de l'architecture logique d'un système de réseau informatique pour la gestion de données selon l'invention ;
La figure 3 est une représentation de l'architecture logique d'un système de réseau informatique pour la gestion de données selon l'invention, basée sur une plate-forme J2EE (Java 2 Enterprise Edition) ;
La figure 4 est une représentation simplifiée de l'architecture physique de deux points d'accès d'un système de réseau informatique selon l'invention ;
La figure 5 est une représentation de l'architecture logique d'une partie du système de réseau informatique selon l'invention, concernant l'accès aux services à valeur ajoutée ;
La figure 6 est une représentation graphique de l'architecture logique d'une partie du système de réseau informatique selon l'invention, concernant un service à valeur ajoutée, dans l'exemple illustré un service d'aide à la prescription médicamenteuse ;
La figure 7 est une représentation de l'architecture logique d'une partie du système de réseau informatique selon l'invention, concernant un service à valeur ajoutée, dans l'exemple illustré une base de données logistique ;
La figure 8 est un schéma montrant les actions principales de l'ouverture d'une session dans le système de réseau informatique ;
La figure 9 est un schéma illustrant les séquences d'actions dans la création (publication) d'un document en relation avec un patient, pour stockage dans le système de réseau informatique selon l'invention ;
La figure 10 est un schéma montrant les séquences d'actions dans la recherche de documents dans un système de réseau informatique selon l'invention ; La figure 11 est un schéma montrant la séquence d'actions pour la consultation d'un document stocké dans le système de réseau informatique ;
La figure 12 est un schéma montrant la séquence d'actions pour modifier des droits d'accès au système de réseau informatique ou à un dossier stocké dans le système ;
La figure 13 est un schéma montrant la séquence d'actions pour l'utilisation d'un service à valeur ajoutée, dans le cas d'espèce l'utilisation d'outils aidant la prescription médicamenteuse.
Faisant référence aux figures 1 et 2, un système de réseau informatique pour la gestion de données médicales personnelles (confidentielles) 1 (ci-après: système de santé informatisé) comprend au moins une infrastructure point d'accès 2a, 2b, une pluralité de systèmes serveurs consignataires de données 3a, 3b, 3c et un réseau de communication fédérateur 4 fermé reliant les infrastructures point d'accès aux systèmes serveurs consignataires de données. Les systèmes serveurs consignataires de données, ainsi que les infrastructures points d'accès, sont localisés sur des sites différents. La décentralisation des données, à la fois physiques (données réparties sur des bases de données différentes) et géographiques (bases de données localisées sur des sites différents), offrent un niveau important de protection des données. Le système de santé informatisé peut en outre comprendre un ou plusieurs systèmes serveurs points d'interconnexion 5, reliés d'une part au réseau de communication fédérateur, et d'autre part à des réseaux informatiques externes, par exemple des réseaux informatiques d'autres systèmes de santé régionaux ou nationaux informatisés. Les utilisateurs 6 accèdent à l'infrastructure point d'accès 2a, 2b du système de santé informatisé par l'intemet 7 en utilisant une connexion sécurisée, par exemple une connexion cryptée de type VPN (Virtual Private Network). Les utilisateurs peuvent être des professionnels de santé (médecins, infirmières, pharmaciens) ou des patients. Chaque utilisateur est muni d'une carte à puce 8 et d'un code personnel (mot de passe) pour son authentification et l'autorisation à accéder au système de santé informatisé. Le poste à partir duquel l'utilisateur accède au système de santé informatisé doit donc être muni d'un lecteur de carte à puce 9. Ce lecteur peut prendre plusieurs formes, mais est de préférence compatible avec le standard PC/SC (Personal Computer/Smart Gard) ou RSA afin d'assurer une interopérabilité avec tous les composants du système d'authentification (carte à puce, lecteur de carte à puce, interface, et application). Le lecteur peut être muni d'une double fente afin de permettre l'insertion de deux cartes, par exemple la carte d'un professionnel de santé, et une carte du patient lors de la consultation du dossier médical du patient. Ceci permet de rassurer le patient quant à la protection de ses données personnelles, notamment lors de sa première consultation avec le professionnel de santé.
La carte à puce 8 constitue un élément important de l'authentification de l'utilisateur, que ce soit le professionnel de santé ou le patient. Les données stockées dans une mémoire du microprocesseur de la carte comprennent un identifiant unique du détenteur de la carte, un certificat d'authentification, au moins une clé électronique privée, et des données administratives, telles que nom, prénom, date de naissance, numéro d'assurance ou de sécurité sociale, etc. La carte ne contient toutefois pas de données médicales. Lorsque la carte est connectée au lecteur de carte à puce, elle peut être déverrouillée par le code personnel de l'utilisateur. L'authentification de l'utilisateur sur le système de santé informatisé s'effectue par la transmission du certificat d'authentification. La clé privée stockée dans le microprocesseur de la carte à puce permet l'encryption et la signature de données échangées entre l'utilisateur et le système de santé informatisé. Pour des raisons de sécurité, plusieurs clés privés peuvent être stockées dans la carte à puce, une clé privée pour chacune des opérations d'authentification, de signature, de données et de chiffrement. L'infrastructure point d'accès comprend une zone VPN externe 8 connectée au réseau internet 7 à travers un routeur d'accès 19a et un pare-feu 10a, une zone de service 11 reliée à la zone externe 8, à travers un pare-feu 10b, une zone de test 13 reliée à la zone externe 8 à travers un pare-feu 10b, une zone VPN interne 22 reliée à la zone de service 11 à travers un pare-feu 10b, une zone haute sécurité 15 et une zone de gestion 16 reliée à la zone de service 11 à travers un pare-feu 10c.
L'infrastructure point d'accès peut en outre comprendre une zone publique 12 reliée à ['internet 7 à travers un routeur d'accès 19a et un pare-feu 10a. La zone de service 11 est connectée à travers un pare-feu 10b et un routeur d'accès interne 19b au réseau de communication fédérateur 4 reliant l'infrastructure point d'accès 2a, 2b aux systèmes serveurs consignataires de données 3 et aux systèmes serveurs points d'interconnexion 5.
La zone publique 9 est indépendante de la partie interne du système de réseau sécurisé utilisé pour la gestion des dossiers patients. Elle contient un serveur Web 20 et un serveur de noms de domaines DNS (Domain Name Serveur) public 21.
Dans la zone de test 13, on effectue les tests d'intégration des divers composants du réseau avant l'intégration de ces composants dans le réseau. C'est aussi d'ici que les mises à jour sont lancées vers le réseau.
Dans la zone VPN externe 8, on établit toutes les connexions réseau en provenance des postes utilisateurs. C'est ici que se termine le tunnel sécurisé entre le poste utilisateur et l'infrastructure point d'accès. C'est ce tunnel qui permet un accès sécurisé et chiffré entre le poste d'utilisateur et le système de santé informatisé. C'est aussi ici que sont effectués les premiers contrôles d'accès au système et la première détection d'intrusion. Depuis la zone VPN interne 22, on réalise tous les accès vers les composantes externes du réseau fédérateur 4, tels que l'accès aux systèmes serveurs consignataires de données 3 et aux systèmes serveurs points d'interconnexion 5 pour la connexion inter-réseaux. C'est d'ici que sont établis de nouveaux tunnels de communication sécurisés entre les médiateurs d'accès 25 et les composantes externes du réseau fédérateur 4.
Dans la zone services 11 sont situés tous les services dits "publics". Cette zone est accessible par les postes d'utilisateurs 6 pour leur permettre d'accéder aux divers services offerts par le système de santé informatisé.
Dans la zone haute sécurité 15 sont situés les services liés à la sécurité du réseau. Cette zone n'est accessible que par les serveurs qui hébergent les applications du système de santé informatisé, et par le personnel d'administration.
Dans la zone de gestion 16 sont situés tous les services liés à la gestion de l'infrastructure du système de santé informatisé. Cette zone n'est accessible que par le personnel d'administration responsable des opérations de gestion de l'infrastructure.
Des routeurs 19a, 19b sont utilisés pour connecter le réseau à d'autres réseaux où sont situés les divers intervenants. Ces routeurs sont placés sur la périphérie du réseau fédérateur 4, de l'infrastructure point d'accès, 2a,2b, des systèmes serveurs points interconnexion 5, et des systèmes serveurs consignataires de données 3. Ils sont paramétrés pour offrir un premier niveau de protection des éléments du réseau sécurisé qu'ils connectent. Les routeurs déployés au sein du système de santé informatisé supportent les fonctions de filtrage de paquets, de consignation des événements et de détection d'intrusion au réseau. Les pares-feu sont des machines qui permettent de protéger tout ou une partie d'un réseau en analysant le contenu des paquets, voire des sessions. Ces machines sont placées à l'intérieur du réseau, juste derrière le routeur 19a et sont un point de passage obligé pour entrer dans la partie du réseau qu'ils protègent.
Les pares-feu 10a, 10b, 10c déployés au sein du système de santé informatisé supportent les fonctions de filtrage de paquets, d'inspection de paquets, de consignation des événements, d'anti-virus et de défense active.
Trois types de pares-feu sont utilisés
• Les pares-feu de périphérie 10a : ces machines sont utilisées dans tous les points d'accès. Elles sont situées entre le routeur de périphérie 19a et le concentrateur VPN 23 et permettent de protéger le réseau du système de santé d'attaques externes. Lors d'un accès "normal" au réseau du système de santé, ces machines ne peuvent pas inspecter le contenu des paquets car ceux-ci sont chiffrés dans un tunnel sécurisé (voir ci-après). Ces pares-feu sont paramétrés pour effectuer un contrôle au niveau des paquets (adresses et ports sources et destination). Les pares-feu de périphérie sont accèdes par tous les postes d'utilisateurs 6 du système de réseau sécurisé ainsi que par tous les accès "publics" aux serveurs 20, 21 de la zone publique 12.
• Les pares-feu internes 10b: ces machines sont utilisées sur toutes les parties du système de réseau sécurisé connectées au réseau fédérateur 4. Elles sont situées sur les parties du système qui communiquent avec le réseau fédérateur 4 et permettent d'inspecter les paquets en-dehors des tunnels sécurisés afin de protéger la partie publique du système accessible lors des sessions par les prestataires de soins ou les patients.
Les pares-feu internes des systèmes serveurs d'interconnexion 5 sont accèdes par des médiateurs techniques d'accès 25 et des médiateurs de services 24. Ils ne nécessitent pas de fonctions supplémentaires que celles énoncées ci-dessus. Les pares-feu internes des infrastructures points d'accès 2a, 2b sont accèdes par tous les postes d'utilisateurs. Puisque les zones de services, de haute sécurité et de gestion utilisent des adresses IP (Internet Protocol) privées, ces pares-feu effectuent la traduction des adresses IP (NAT) (Network Address Translation) en plus des fonctions énoncées ci-dessus.
• Les pares-feu administratifs 10c : ces machines sont utilisées dans toutes les infrastructures points d'accès 2a, 2b. Elles sont situées au-delà de la zone de services 11 et permettent de protéger les zones de haute sécurité et de gestion 15, 16. Les pares-feu administratifs 10c sont accèdes par des médiateurs d'accès 25, les concentrateurs VPN 23 et le personnel responsable de l'exploitation de l'infrastructure du système de santé informatisé et de la gestion des clés électroniques publiques PKI (Public Key Infrastructure). Toutes les fonctions énoncées ci-dessus sont activées sur ces machines dont les paramètres sont contrôlés fréquemment afin d'assurer une très haute sécurité des zones qu'elles protègent.
Afin d'assurer la sécurité des sessions, des tunnels sécurisés (VPN) sont établis sur tous les liens du réseau qui ne sont pas sûrs. Ces tunnels VPN seront établis dans les cas suivants :
• accès au système de santé informatisé par un utilisateur 6;
• accès à un système serveur consignataire de données 3 depuis le réseau fédérateur 4
• accès à un système serveur point d'interconnexion depuis le réseau fédérateur 4.
Deux types de VPN sont présents dans le système de santé informatisé • VPN Utilisateur : ces VPN utilisent la technologie SSL (Secure Socket Layer) et sont établis entre un poste d'utilisateur 6 et l'infrastructure point d'accès 2a, 2b lors de l'accès au système de santé informatisé. Le protocole SSL est utilisé pour établir une session avec l'un des concentrateurs SSL 23 de l'infrastructure point d'accès. L'authentification avec le concentrateur VPN SSL 23 utilise le certificat d'authentification récupéré sur la carte à puce 8 de l'utilisateur.
• VPN Interconnexion réseau 26 : ces VPN utilisent la technologie IPSec ou la technologie SSL et sont établis entre les serveurs VPN internes des infrastructures points d'accès 2a, 2b et le serveur VPN 26 du système serveur consignataire de données 3 ou du système serveur d'interconnexion réseau 5. Ces tunnels sécurisés sont permanents entre deux sites et ne nécessitent pas d'authentification de la part des utilisateurs ou des médiateurs d'accès du fait que la communication s'effectue entre éléments de confiance à travers le réseau fédérateur 4. Puisque seul le réseau fédérateur 4 qui transporte lès données est jugé "non sûr", ce canal seul sera chiffré. L'établissement de ces VPN est authentifié par un certificat d'authentification délivré pour chaque système serveur consignataire de données et chaque infrastructure point d'accès.
Bien que de nombreux mécanismes de protection soient déployés au sein de l'infrastructure du système de réseau sécurisé, un système de détection d'intrusion (IDS - Intrusion Détection System) est installé dans l'infrastructure point d'accès afin de permettre une réactivité rapide en cas d'infraction. Une autre fonction importante de l'IDS, est de permettre de reconstituer et de tracer des événements en analysant les journaux et autres données collectées.
Ces IDS fournissent des services de détection, de consignation, d'alerte, de réaction et de synthèse vis-à-vis de toute tentative d'attaque ou d'intrusion au sein du système de réseau sécurisé. Ils peuvent s'interfacer avec d'autres IDS et posséder un langage permettant de définir des règles personnalisées. Les IDS comprennent des fonctions du type "réseau" (NIDS) et "machine" (HIDS).
L'architecture du système de détection d'intrusion est distribuée et redondante, et comprend les éléments suivants :
• Un système serveur de gestion de sécurité 28, comprenant un logiciel qui récupère l'ensemble des données émises par les sondes IDS 27 et centralise ces données pour les analyser et, le cas échéant, réagit afin d'avertir les opérateurs et/ou bloquer ces tentatives d'intrusion. Ce logiciel est présent dans la zone de gestion 16 de chaque infrastructure point d'accès 2a, 2b afin d'offrir un niveau de redondance adéquat. Tous les systèmes serveur de gestion de sécurité communiquent entre eux afin d'échanger les informations pertinentes et nécessaires au bon fonctionnement de l'ensemble.
• Des sondes IDS 27, qui sont des "sniffers" spécialisés qui analysent tous les paquets, protocoles et sessions qui transitent par l'équipement qu'ils surveillent. Les sondes sont présentes sur tous les équipements critiques du système de réseau sécurisé, en particulier sur le routeur externe 19 de l'infrastructure point d'accès et sur les pares-feu internes et externes. Les sondes 27 communiquent avec le système serveur de gestion de sécurité 28 le plus proche e remontent toutes les informations nécessaires à ce système serveur pour mener à bien sa mission.
La zone services 11 de l'infrastructure point d'accès 2a, 2b comprend un système serveur agissant comme médiateur technique d'accès (ci-après "médiateur d'accès") aux données protégées, notamment aux dossiers médicaux, le médiateur d'accès comprenant par exemple un serveur d'accès 25. Le médiateur d'accès matérialise le point d'entrée dans le système de santé informatisé des applications liées aux données confidentielles médicales réparties sur le réseau et utilisées par les professionnels de santé et les patients. Le médiateur d'accès 25 cache la structure interne du réseau et permet de garder le contrôle sur la sécurité et sur les interfaces exposées aux utilisateurs 6. Il convient de remarquer que le système de santé informatisé selon l'invention peut comporter plusieurs serveurs d'accès 25, par exemple chacun étant partagé par différents groupes d'utilisateurs. Pour simplifier l'exploitation des serveurs d'accès et augmenter leur efficacité et rapidité, il est cependant préférable qu'ils soient regroupés dans les infrastructures points d'accès 2a, 2b. Les serveurs d'accès ne stockent en mémoire essentiellement que des données techniques et non pas des données médicales, bien qu'ils puissent comprendre des caches techniques pour stocker temporairement certains résultats de recherche, tels que des adresses de serveurs et des données constituant le dossier médical d'un patient afin de pouvoir y accéder plus rapidement lorsqu'une session sur le réseau est ouverte par un utilisateur. Cependant, une fois que la session est fermée, les données stockées dans cette cache sont supprimées/perdues.
Les fonctions principales du médiateur technique d'accès 25 sont (voir les interactions sur la Fig. 2) :
• authentification des utilisateurs, y compris vérification de la révocation éventuelle (voir aussi Fig. 8); • autorisation : le médiateur d'accès effectue un premier niveau de filtrage des requêtes selon le rôle lié à l'identité de la personne effectuant une requête; • gestion des sessions avec les utilisateurs, en particulier la récupération du profil d'accès du patient auprès d'un médiateur technique de service de consignation 29 dans un des systèmes serveur consignataire de données
3; • création et vérification de la validité des documents (format, encodage, attributs...) et transmission au système serveur de données consignataire du professionnel de santé concerné (voir aussi Fig. 9);
• recherche de données d'un dossier médical (voir aussi Fig. 10) sur demande d'une application de consultation, où le médiateur d'accès aux dossiers interroge l'ensemble des médiateurs de service de consignation en leur soumettant la requête de documents, puis collecte les réponses ou absences de réponse, consolide le résultat et le retourne à l'application ayant initié la demande. Le résultat d'une recherche consiste en une liste de références vers des documents consultables; les documents dont l'accès n'est pas autorisé ne sont pas annoncés ;
• consultation de données d'un dossier médical (voir aussi Fig. 11 ) : à partir d'une référence précise fournie par une application de consultation, le médiateur d'accès aux dossiers 25 interroge le médiateur de service de consignation 29 concerné et récupère le contenu du document référencé; l'accès au document est journalisé par le médiateur d'accès ;
• affichage des droits d'accès : sur demande d'une application de gestion du profil, le médiateur d'accès obtient le profil des droits d'accès du patient auprès d'un système serveur consignataire de données (par le système de recherche décrit précédemment), puis retourne ceux-ci à l'application ayant initié la demande;
• modification des droits d'accès (voir aussi Fig. 12) : sur demande de l'application de gestion du profil, le médiateur d'accès aux dossiers 25 met à jour le profil d'accès stocké auprès du médiateur de service de consignation 29 du médecin de confiance du patient concerné;
• journalisation des accès : une trace de chaque requête est conservée localement par le médiateur d'accès aux dossiers;
• recherche des traces des accès d'un patient donné, par interrogation des journaux applicatifs; • administration : répond aux commandes définies par l'interface commune d'administration applicative; Pour ce faire, le médiateur d'accès collabore avec plusieurs composants du système de réseau informatique sécurisé, les collaborations principales étant les suivantes :
• le médiateur d'accès est utilisé par les composants de gestion des dossiers patient, de consultation des dossiers virtuels 50 et de gestion des profils d'accès 51 ;
• le médiateur d'accès utilise les services de sécurité 53 pour l'authentification et les autorisations basées sur les rôles, grâce aux certificats contenus dans les cartes à puce du patient et du professionnel de la santé;
• le médiateur d'accès utilise le service de validation 54 des documents publiés;
• le médiateur d'accès accède à l'ensemble des médiateurs de service de consignation 29 pour la publication, la recherche, la consultation et la gestion des profils d'accès;
• le médiateur utilise le service de journal applicatif local 55;
• le médiateur d'accès accède à l'ensemble des journaux applicatifs pour reconstituer les accès au dossier d'un patient; • le médiateur d'accès accède au registre (annuaire) des professionnels de santé 56 pour obtenir les informations nécessaires, telles que l'identifiant du consignataire du professionnel de santé ou son rôle;
• le médiateur d'accès accède aux informations de configuration du système de santé informatisé 57, telles que l'adresse des consignataires.
La zone services 11 comporte en outre un système serveur agissant comme médiateur d'accès technique spécialisé 24 (ci-après « médiateur d'accès spécialisé ») qui matérialise le point d'accès pour des applications utilisateurs aux services électroniques à valeur ajoutée (ci-après « services à valeur ajoutée » ou « SVA ») tels que l'aide à la prescription médicamenteuse faisant partie du système de santé informisé. Le système électronique d'aide à la prescription médicamenteuse 31 peut comprendre une base de données stockant sous forme électronique un compendium de médicaments et un logiciel pour déterminer l'adéquation d'une diagnose en fonction de l'interaction entre médicaments, d'allergies et d'autres conditions ressortant du dossier médical de patient. Le médiateur d'accès spécialisé 31 peut comprendre un serveur qui ne stocke essentiellement que des données techniques et a les fonctions suivantes :
• reçoit les requêtes provenant directement des logiciels utilisateurs, à travers un tunnel de communication sécurisé;
• authentifie l'utilisateur et autorise la requête selon les droits liés à son identité et à son rôle;
• transmet les requêtes au service à valeur ajoutée 31a, 31 b auquel il est lié et retourne les réponses à l'utilisateur; il joue en cela un rôle classique de "proxy" pour le protocole du service à valeur ajoutée;
• sur demande du service à valeur ajoutée, interagit avec le reste du système de santé informatisé, notamment les médiateurs de services de consignation 29, afin d'obtenir des informations (par exemple dans le cas de l'aide à la prescription médicamenteuse); • journalise localement les actions effectuées.
Aux fins précitées, le médiateur d'accès spécialisé interagit avec les utilisateurs et les autres composants du système de réseau informatique sécurisé selon les collaborations principales suivantes (voir Figures 2 et 5) :
• le médiateur d'accès spécialisé est utilisé par les clients 6a de services à valeur ajoutée;
• le médiateur d'accès spécialisé appelle, et est appelé par, le service à valeur ajoutée 31a, 31 b auquel il est lié; • le médiateur d'accès spécialisé 24 (24a, 24b) accède aux médiateurs de service de consignation 29 afin de rechercher et consulter des documents médicaux;
• le médiateur d'accès spécialisé utilise les services électroniques de sécurité 53 disposés dans la zone haute sécurité 15 pour l'authentification et les autorisations basées sur les rôles des utilisateurs;
• le médiateur d'accès spécialisé utilise le service électronique de journal d'accès applicatif local 58;
• le médiateur d'accès spécialisé accède à l'annuaire électronique 56 des professionnels de santé et des rôles disposés dans la zone haute sécurité
15, (tels que l'identifiant du système serveur consignataire de données 3a du professionnel de santé concerné);
• le médiateur d'accès spécialisé accède aux informations de configuration de l'infrastructure du système de réseau informatique sécurisé (telles que les adresses des systèmes serveurs consignataires), ces informations étant stockées dans un système serveur de gestion de l'infrastructure 33 dans la zone de gestion 16.
Les services à valeur ajoutée, tels que les bases de données des médicaments et le support logistique, peuvent être implémentés de manière centralisée car ils ne stockent pas d'informations relatives aux patients. Cette centralisation n'est toutefois que "logique", et n'exclut pas une décentralisation "physique" pour des questions de performance et d'accessibilité.
Au niveau architectural, ces services à valeur ajoutée peuvent donc être vus comme des boîtes noires du système de santé informatisé. Ils sont mis à disposition des utilisateurs au travers d'un médiateur d'accès spécialisé réalisant la jonction entre le SVA et le reste du réseau.
La figure .6 présente une architecture logique possible pour le service électronique d'aide à la prescription. Ce service est appelé à partir d'un médiateur de service à valeur ajoutée 24b, lui-même appelé par un médiateur d'accès spécialisé 24a (non représenté sur la figure 6).
Ce SVA possède des données propres, notamment une base de données des médicaments (compendium) 58 et des interactions potentielles entre ceux-ci. De plus, le moteur de détection des interactions a accès 59 aux prescriptions en cours du patient.
Faisant référence aux Figures 1 et 2, la zone service 11 peut en outre comporter un serveur de messagerie sécurisé 34 utilisé principalement pour l'envoi de messages électroniques entres utilisateurs 6b du système de santé informatisé, ou pour la transmission et le stockage de données protégées, telles que les données médicales d'un patient, dans un système serveur consignataire de données 3a. Afin d'assurer la protection des données transmises, les messages électroniques sont signés avec la clé privée de la carte à puce du professionnel de santé et envoyés à une adresse correspondant à un autre acteur, par exemple 123456789@e-toile.ch où 123456789 est l'identifiant de l'acteur. Le serveur mail n'accepte que les mails provenant du VPN, et dont la signature correspond à un professionnel de santé connu du système de réseau sécurisé. Le professionnel de santé peut donc ajouter un message en tant que document rattaché au patient dans la base des documents du système serveur consignataire de données du professionnel de santé émetteur.
La zone haute sécurité 15 comporte un système serveur 32 comprenant un annuaire électronique de professionnels de santé 57 (ci-après annuaire des PDS) utilisé pour autoriser les accès d'utilisateurs en fonction de leurs rôles, un système de gestion de certificats électroniques 35 (ci-après gestionnaire PKI), qui stocke et gère les certificats électroniques et les listes de révocation de certificats qui ont été émis, et une autorité électronique de certification 36 (ci- après autorité de certification) qui agit comme autorité de certification de l'organisation du système de santé informatisé. Dans le cas où la production des cartes à puce est sous-traitée à une organisation externe, le système de gestion de certificat électronique 35 et l'autorité électronique de certification 36 peuvent se trouver à l'extérieur du système de réseau informatique sécurisé dans un système sécurisé externe, sous contrôle de l'organisation responsable de la production des cartes à puce.
La zone haute sécurité 15 peut en outre comprendre un serveur de nom de domaine interne (ci-après DNS interne) 37 pour gérer les noms des hôtes internes. Chacun des composants de la zone haute sécurité peut être fourni sous forme, de système serveur. Le système serveur de l'annuaire des PDS 32 a le rôle principal de répertorier les professionnels de la santé affiliés au système de santé informatisé et de regrouper les informations nécessaires à leur sujet! Le système serveur de l'annuaire des PDS 32 stocke essentiellement des données administratives, telles que nom, prénom, adresse, spécialité, etc. du professionnel de santé, des certificats numériques de chaque professionnel de santé, des informations sur les rôles et/ou les autorisations sur les professionnels de santé, et les adresses ou d'autres informations sur le système serveur consignataire de données 3a associées à l'utilisateur. Les fonctions principales de l'annuaire des professionnels de santé sont les suivantes :
• création d'une nouvelle entrée dans l'annuaire;
• modification des attributs d'une entrée existante; • désactivation d'une entrée;
• recherche et consultation d'entrées dans l'annuaire;
• importation et exportation par lots;
• via interface homme-machine (IHM) d'administration : établissement de listes et de rapports; • administration : répond aux commandes définies par l'interface commune d'administration applicative. L'annuaire des professionnels de santé 57 est utilisé par le service de messagerie sécurisé 34 afin d'obtenir la clé publique du destinataire d'un message chiffré. Les médiateurs d'accès 25 utilisent aussi l'annuaire afin d'autoriser les requêtes selon le rôle d'un professionnel de santé.
Le gestionnaire PKI 35 peut être un produit standard du marché, pour la production, la distribution, la révocation et la vérification des certificats électroniques.
Le système serveur d'autorité de certification 36 a le rôle d'authentifier un utilisateur du réseau et d'autoriser certaines requêtes en fonction de son rôle. Le système serveur d'autorité de certification stocke essentiellement des données sur les certificats de l'autorité de certification ayant émis le certificat des cartes à puce des utilisateurs ainsi que des listes de révocation ou d'accès. Les fonctions principales de l'autorité de certification 36 sont les suivantes :
• contrôle de l'authenticité du certificat présenté;
• vérification des listes de révocation; • vérification des autorisations liées au rôle d'un utilisateur;
• si nécessaire : établissement du contexte de sécurité de la session;
• administration : répond aux commandes définies par l'interface commune d'administration applicative.
L'autorité de certification est surtout utilisée par les médiateurs d'accès 25 ou les médiateurs d'accès spécialisés 24. Il est à remarquer que les données des listes de révocations peuvent aussi être stockées sur d'autres serveurs, et dans ce cas l'autorité de certification 36 accédera à ces serveurs afin de vérifier la liste des révocations. La zone de gestion 16 comprend un système serveur pour la gestion de l'infrastructure 33 du système de santé informatisé qui permet l'exploitation de l'infrastructure du réseau informatique en fournissant les services électroniques suivants :
• surveillance des événements critiques (pannes, surcharge, dépassement de capacité...) ; historique centralisé des événements ; historique de l'utilisation du trafic réseau ; • centralisation des configurations réseau ; centralisation des images des serveurs (du type Ghost) ; génération d'alarme en cas d'événements critiques ; possibilités de distribution de mises à jour ; gestion des alarmes par équipement et notification des plus sévères vers le TTS (Trouble Ticketing System) du Help Desk ;
• gestion de l'inventaire des équipements et des versions logicielles déployées.
La zone de gestion 16 comprend en outre un système de gestion électronique d'application 38 pour administrer et gérer les applications du système de santé informatisé^ notamment l'administration des applicatifs et la gestion de la configuration des différents composants et applications du système, ainsi que la télédistribution aux postes-clients (voir aussi sous serveur de déploiement).
Comme décrit auparavant, la zone de gestion 16 peut également comprendre un système serveur de gestion de sécurité 28 pour reconstituer ou tracer des événements en analysant les journaux et d'autres données collectées par les sondes de détection d'intrusion 27 installées sur les points critiques du système de santé informatisé. La zone de gestion peut également comprendre un système de production 39 de disques compacts ou d'autres supports pour fournir le dossier aux patients qui en font la demande, quand ils vont à l'étranger par exemple.
Le système de gestion d'infrastructure 33 comprend un registre de configuration 57 qui conserve les informations communes concernant la configuration logique et physique du système de santé informatisé. Les données stockées dans ce registre comprennent en outre, les adresses des médiateurs, des services à valeur ajoutée, et des services communs tels que les journaux. Le registre qui est accessible par tous les composants internes du système de santé informatisé a les fonctions :
• recherche d'un élément de configuration et accès à sa/ses valeur(s).
• importation et exportation par lots; • dans la mesure du possible : découverte automatique de certains éléments (par exemple médiateurs) entrant dans la configuration;
• via IHM ou interface d'administration : création d'une nouvelle entrée de configuration, modification ou effacement d'une entrée existante, production de listes;
Il est à remarquer que la configuration privée propre à chaque composant applicatif du système de santé informatisé n'est en principe pas conservée dans le registre de configuration, mais par un mécanisme local ad hoc.
Le système serveur de gestion d'applications 38 qui permet l'exploitation et le pilotage des composants applicatifs du système de santé informatisé, peut avoir les fonctions suivantes :
• interrogation et affichage de l'état des composants (automatiquement et sur demande de l'opérateur);
• démarrage et arrêt des composants; • modification des paramètres de fonctionnement des composants (si ceux- ci le permettent);
• détection de problèmes et annonce aux opérateurs;
• collecte et affichage de statistiques (par exemple temps de réponse, compteurs);
• échéancier d'actions sur les composants (par exemple démarrage automatique de tâches de fond pour la maintenance);
• action automatique en fonction de certains événements (e.g. redémarrages en cas d'erreur);
La zone de gestion 16 peut également comprendre un serveur de déploiement qui met à disposition des professionnels de santé des logiciels mis à jour permettant d'accéder aux services du système de santé informatisé.
Dans la zone publique 9, le système serveur portail d'informations (serveur Web) a le rôle principal de fournir des informations au public et aux professionnels de santé. Ce système serveur stocke des données HTML statiques et des données structurées selon les besoins, ce serveur communiquant avec la zone d'administration 16, notamment le système serveur de gestion d'infrastructure 33 et de gestion et d'application 38 afin d'obtenir l'état du système. Les fonctions principales du système serveur portail d'informations 20 sont :
• diffusion des informations statiques de base (historique, mission, modes d'emploi, adresses de contact, etc.);
• diffusion des informations de services (état du système, dérangements, fenêtres de maintenance, annonces, événements, etc.).
Le système serveur portail est accessible sans connexion VPN. Le système serveur consignataire de données 3 qui est connecté au réseau fédérateur 4 par un routeur interne 19b et un tunnel sécurisé VPN interne 26 à travers un pare-feu interne 10b, comprend un système serveur agissant comme médiateur technique de services de consignation 29 (ci-après médiateur de services de consignation) et un serveur de documents 40. Le médiateur de services de consignation 29 gère les accès aux données conservées dans le serveur de documents 40 sur appel des médiateurs d'accès 25, 24 afin d'accéder aux différents composants du système serveur consignataire de données 3. Le médiateur de services de consignation accède également aux services de journalisation locale 59 afin de conserver une trace de toutes les opérations effectuées par un ou plusieurs composants du système serveur consignataire de données. Les fonctions principales du médiateur consignataire de données sont les suivantes :
• publication : reçoit un document à publier de la part du médiateur d'accès aux dossiers 25 et le confie au serveur de documents 40 pour stockage ; crée et stocke également sur le serveur 40 la référence unique de chaque document d'un patient;
• lors de la publication du premier document d'un patient sur le consignataire concerné : création du dossier et du profil d'accès du patient;
• recherche : sur réception d'une requête de recherche de documents d'un médiateur d'accès aux dossiers, le médiateur de service de consignation recherche auprès du serveur de documents 40 les références de documents correspondant aux critères de recherche ; vérifie et retourne les résultats au médiateur d'accès aux dossiers ; vérifie la bonne application des droits d'accès;
• consultation de documents : sur réception d'une requête de consultation de document d'un médiateur d'accès aux dossiers, le médiateur de service de consignation vérifie, si nécessaire, la référence (e.g. est-elle bien formulée et toujours valide), vérifie les droits d'accès applicables, et obtient le document auprès du consignataire; • vérification des droits d'accès par rapport aux profils d'accès et aux exceptions spécifiées par le patient;
• mise à jour des profils d'accès par défaut des patients (non spécifiques à un document); • mise à jour des exceptions (spécifiques à un document) dans les droits d'accès;
• journalisation des requêtes;
• gestion des erreurs du consignataire : dans la mesure du possible, le médiateur de service de consignation protège le reste du réseau contre les erreurs du consignataire (y compris traitement des time-outs éventuels);
• administration : répond aux commandes définies- par l'interface commune d'administration applicative.
Il est à noter que chaque médiateur consignataire de données ne connaît que les documents qu'il gère et les patients pour lesquels il a un document, le dossier complet d'un patient pouvant donc être distribué sur une pluralité de consignataires de données évitant ainsi le stockage d'un dossier médical complet sur un seul serveur ou registre central. Ceci augmente fortement la protection des données médicales d'un patient compte tenu du fait qu'il est extrêmement difficile pour un tiers de franchir une pluralité de systèmes sécurisés afin de reconstituer le dossier complet.
Pour des questions de performance, le médiateur de consignation de services est de préférence physiquement proche du serveur de références 41 et du serveur de documents 40. Le rôle du serveur de références est de permettre de retrouver, sur la base de critères de recherche, les références sur les documents consignés. Les données stockées sur le serveur de références sont essentiellement les références aux documents stockés dans le serveur de documents 40, les attributs de ces documents et les indexes. Le serveur de références peut également comprendre, ou tout au moins accéder à, un registre (base) des droits d'accès 60 spécifiques aux documents, ce registre se trouvant de préférence dans au moins un système serveur consignataire de données 3, notamment le système serveur consignataire du médecin de confiance du patient.
Les fonctions principales du serveur de références 41 sont les suivantes :
• stockage des références aux documents; • stockage des attributs nécessaires aux recherches;
• création et gestion des indexes nécessaires aux recherches;
• recherche de références avec des critères basés sur les attributs (identité du patient, type de document, daté...), en tenant compte des restrictions d'accès édictées par le patient.
Il est à remarquer que le serveur de références 41 pourrait être intégré ou faire partie du serveur de documents 40, ou tout au moins partager les mêmes structures de données.
Lors de la recherche de documents (voir aussi Fig. 10), un médiateur d'accès aux dossiers interroge tous les médiateurs de service de consignation et attend de chacun d'eux une réponse positive ou négative. Cela conduit à charger le réseau, le médiateur d'accès (qui doit gérer un grand nombre d'interlocuteurs simultanément), et chaque médiateur de service qui doit répondre à chaque requête qui lui parvient. Cela constitue le risque que les performances des opérations de requête sont inférieures au seuil d'acceptabilité, et que l'augmentation, à terme, du nombre de consignataires de service (et donc du nombre de médiateurs de service et des serveurs de référence) dégrade les performances globales du réseau. Dans l'optique de prévenir ces problèmes potentiels, il est possible de mettre en place des serveurs de références intermédiaires, indexant l'existence de documents ou, plus largement, d'un dossier relatif à un patient dans un consignataire particulier, tel que montré dans la figure 1a.
Le registre des droits d'accès spécifiques aux documents 61 à le rôle de gérer la liste des exceptions d'accès, notamment celles qui sont requises par le patient. Ce registre peut être intégré au serveur de références en utilisant les mêmes structures de données que celui-ci, mais pourrait également être une entité distincte du serveur de références. Le registre des droits d'accès spécifiques aux documents 61 (aussi appelé "registre des exceptions") a les fonctions principales suivantes :
• stockage des exceptions autorisant l'accès par des personnes spécifiques à certains documents ;
• recherche de ces exceptions avec les critères sur le patient, le professionnel de santé, le document ou autres données associées au dossier médical.
Les interactions du registre des droits d'accès spécifiques 61 aux documents sont principalement les suivantes :
• consultation par le médiateur de service de consignation 29 lors de la recherche et de la consultation de documents; • mise à jour par le médiateur de service de consignation dans le cadre de la gestion des droits par le patient;
• le médiateur de service de consignation enregistre une nouvelle exception la première fois qu'un professionnel consulte un document afin de lui garantir l'accès ultérieur même en cas de modification des restrictions par l'utilisateur; • collaboration avec les autres composants du consignataire pour les opérations de maintenance (e.g. préservation de l'intégrité référentielle en cas d'effacement de documents).
Le système serveur de documents 40 a le rôle de stocker de manière fiable et pérenne les documents du dossier médical d'un patient. Les données stockées sur la base de données de ce serveur peuvent être chiffrées ou non. Les fonctions principales du système serveur des documents sont les suivantes :
« il accepte et stocke les nouveaux documents;
• il délivre, sur présentation de leur référence, les documents demandés pour consultation;
• il efface les documents obsolètes, selon les règles édictées par l'administrateur du système; • il importe et exporte de documents (isolément ou par lots);
• éventuellement : il gère le versionnage de documents;
Le médiateur consignataire de données 29 accède à la base de documents du serveur de documents 40 lors de la publication, la recherche et la consultation de documents, tel que montré dans les figures 9, 10 et 11.
Dans la présente demande, on utilise le terme « publication » concernant les documents de dossiers pour l'opération de création et de stockage des documents sur un serveur de documents, le mettant à disposition des utilisateurs du système de santé informatisé. Afin de pouvoir publier le dossier patient, le système de santé informatisé comprend une application de publication 63 de dossiers patients qui génère et stocke les nouveaux documents selon la procédure telle que illustrée dans la figure 9. L'application de publication accède aux certificats et aux fonctions de la carte à puce 8 via le lecteur 9 de carte à puce et délègue toutes les requêtes du réseau au médiateur d'accès aux dossiers 25 de l'infrastructure point d'accès 2a, 2b. Les fonctions principales de cette application sont les suivantes :
• authentification du professionnel de santé au moyen de sa carte à puce;
• transmission sur le réseau des documents à publier (les documents préparés localement, soit par des applications dédiées, soit par des outils bureautiques conventionnels);
• éventuellement : conservation de la liste des documents publiés et de leurs références dans le système de réseau sécurisé;
Il est à remarquer que la carte à puce du patient n'est pas nécessaire pour publier des documents, mais l'identifiant du patient l'est. L'application ne permet pas de modifier les documents publiés, afin d'éviter des abus, et en cas de modification il est nécessaire de faire de nouvelles versions des documents. L'application pourrait être implémentée par un interface graphique GUI (Graphical User Interface) classique, ou par un serveur de présentation WEB accédé par un browser.
Le système de santé informatisé comprend également une application de consultation des dossiers 50 afin de permettre à un professionnel de santé ou à un patient de consulter son dossier stocké dans les différents systèmes serveurs consignataires de données, selon les autorisations et le profil d'accès.
Cette application accède aux certificats et aux fonctions de la carte à puce via le lecteur de carte à puce et délègue toutes les requêtes au médiateur d'accès aux dossiers 25 dans l'infrastructure point d'accès 2a, 2b. Cette application peut également collaborer avec des applications externes pour visualiser certains types de documents (par exemple Acrobat, viewer graphie). Comme pour l'application de publication, cette application de consultation pourrait être implémentée par un client GUI classique ou par un serveur de présentation WEB accédé par un browser. Les fonctions principales de l'application de consultation des dossiers sont les suivantes :
• authentification du professionnel de santé et du patient au moyen de leurs cartes à puce;
• recherche des références de documents constituant le dossier virtuel du patient, d'après des critères à définir (type de document, date de publication, origine...);
• consultation : recherche et affichage de documents sélectionnés parmi les références retournées par la recherche;
• impression d'un document affiché, avec inclusion des informations de traçabilité;
• éventuellement : stockage des références de documents déjà consultés.
• accès aux informations en cas d'urgence sans la carte du patient (n ais toujours avec la carte du professionnel).
Une autre application séparée ou intégrée dans l'application d'une publication des dossiers patients est une application de validation de documents 54 qui assure que les documents publiés satisfont aux exigences du réseau sécurisé. Cette application est utilisée par le médiateur d'accès aux dossiers 25 lors d'une publication et a les fonctions principales suivantes :
• vérification de conformité (format, encodage, syntaxe, règles structurelles, taille); • complètement, le cas échéant, des attributs du document;
• administration : répond aux commandes définies par l'interface commune d'administration applicative;
Une application importante du système de santé informatisé est l'application de gestion du profil d'accès 51 permettant à un patient de gérer son profil de droit d'accès et de visionner le journal des accès effectués sur son dossier. Cette application accède aux certificats et aux fonctions de la carte à puce 8 via le lecteur de carte 9 et délègue toutes les requêtes au médiateur d'accès aux dossiers 25. Cette application pourrait être implémentée par un GUI classique ou par un serveur de présentation WEB accédé par un browser. Les fonctions principales de l'application de gestion du profil d'accès 51 sont les suivantes :
• authentification du patient au moyen de sa carte à puce;
• recherche et affichage du profil de droits d'accès du patient;
• modification du profil de droit d'accès et mise à jour de celui-ci sur le réseau;
• recherche (dans les journaux) des accès au dossier du patient effectués dans une période donnée, puis affichage des résultats;
• renouvellement du certificat de la carte à puce : une application cliente du réseau sécurisé doit avoir la fonction de renouveler le certificat inscrit dans la carte à puce. L'application de gestion du profil d'accès peut donc avoir cette fonction;
Le profil d'accès d'un patient est stocké dans un registre de profils d'accès 60 (aussi appelé base de droits d'accès) qui est de préférence stocké dans un médiateur de services de consignation 29 de manière décentralisée pour augmenter les difficultés d'accès illicite aux restrictions d'accès aux documents. Au lieu de stocker le registre de profils d'accès sur le médiateur de services de consignation 29, on peut également le localiser sur le serveur de documents 40 dans lequel le document concerné est stocké. Ce registre est utilisé par le médiateur de services de consignation sur demande du médiateur d'accès aux dossiers 25 lors de l'initialisation d'une session ou dans le cadre de la gestion des droits d'accès du patient. Les fonctions principales du registre des profils d'accès sont les suivantes :
• création d'un profil d'accès lors de la première visite du patient;
• modification des restrictions d'accès; • effacement d'un profil d'accès d'un patient donné;
• sélection du profil d'accès d'un patient donné;
• administration : répond aux commandes définies par l'interface commune d'administration applicative.
L'accès par un professionnel de santé à des documents publiés sur le réseau du système de santé informatisé est subordonné à la vérification avec trois niveaux de contrôle. Le premier niveau correspond au rôle de l'émetteur d'une requête. Celui-ci peut-être par exemple médecin, infirmier, pharmacien, et est lié à certaines autorisations d'accès aux fonctions du réseau. Un infirmier pourrait par exemple consulter mais pas publier. Le deuxième niveau est constitué du profil d'accès défini par le patient. Celui-ci permet par exemple d'interdire l'accès à tous les dossiers et documents de type gynécologie aux professionnels traitants mais l'autoriser aux médecins de confiance. Le troisième niveau est matérialisé par des exceptions spécifiques à des médecins et des documents ou dossiers particuliers. Il est par exemple possible d'autoriser l'accès du compte-rendu de la visite gynécologique à une date spécifique au Docteur X, médecin traitant mais pas de confiance.
Ces deuxième et troisième niveaux sont donc traités de pair afin d'autoriser un accès interdit par le deuxième niveau, mais autorisé à titre exceptionnel par le troisième.
Une solution consiste à conserver le profil d'accès auprès du consignataire de données du médecin de confiance, et à avoir des listes d'accès ACL (Access Contrai List) pour chaque document, ces ACL ne comportant que les exceptions d'accès, pas le profil lui-même.
Afin d'exercer les contrôles d'accès liés au profil, le médiateur d'accès aux dossiers 25 doit le fournir aux médiateurs de service de consignation 29 lors de chaque requête. Pour une requête de recherche (voir Figures 2 et 10), le médiateur d'accès aux dossiers doit donc récupérer le profil d'accès dans la base des droits d'accès 60 auprès du médiateur de consignation 29 du système serveur consignataire de documents du médecin de confiance, avant d'interroger toutes les bases des droits d'accès 60', 60" des autres médiateurs de consignation 29', 29". Afin d'éviter cette sous-requête supplémentaire à chaque requête du logiciel client, le médiateur d'accès 25 peut garder le profil d'accès de manière temporaire dans les informations de session.
La modification du profil d'accès (voir aussi Fig. 12) par le patient implique uniquement la mise à jour du profil stocké par le consignataire de document du médecin de confiance, sans modification des ACL de tous les documents.
Une autre solution pour réaliser la stratégie de contrôle d'accès, serait que l'ACL de chaque document inclut le profil d'accès défini par le patient, de manière à ce que le respect de l'ACL seul suffise à exercer les deuxième et troisième niveaux 2 et 3 de contrôle. Le profil d'accès quant à lui est toujours stocké auprès du système serveur consignataire de données du médecin de confiance. Lors de la mise à jour du profil, il faut alors mettre à jour le profil stocké dans le consignataire de documents du médecin de confiance, et modifier toutes les ACL de tous les documents déjà publiés.
Faisant référence aux figures 1 , 2 et 8, l'ouverture d'une session par une application utilisateur s'effectue après l'établissement du tunnel sécurisé VPN entre le poste du professionnel de santé 6 et l'infrastructure point d'accès 2a, 2b. Etant donné que l'établissement du VPN implique l'authentification du serveur VPN 23 par l'utilisateur et que l'ensemble des serveurs situés au sein de l'infrastructure point d'accès peut être considéré comme sûr, il n'est pas nécessaire que l'application utilisateur authentifie de nouveau les serveurs auxquels elle s'adresse (un médiateur d'accès par exemple). En revanche, il est nécessaire d'identifier et d'authentifier l'utilisateur auprès du serveur d'autorité de certification 36 (aussi appelé "serveur sécurité") afin que celui-ci connaisse l'identité de la personne ouvrant une session applicative et effectue des actions selon cette identité et les droits associés.
Un professionnel de santé est rattaché à un système serveur consignataire de données 3a, 3b, 3c spécifique qu'il peut choisir. Lors de la publication d'un document, celui-ci est stocké dans ce système serveur consignataire de données après avoir passé différents niveaux d'autorisations et de validation, tel que montré dans la figure 9.
La figure 10 illustre le déroulement d'une requête de recherche de documents qui met en œuvre deux mécanismes très importants :
• la distribution des requêtes de recherche par le médiateur d'accès aux dossiers à tous les médiateurs de service de consignation;
• la vérification des droits d'accès à partir des profils de restriction et des listes d'exception au niveau de chaque médiateur de service de consignation (donc de manière totalement décentralisée).
On peut noter que le profil d'accès est transmis par le médiateur d'accès aux différents médiateurs de service lors de la recherche. Ce profil d'accès est tout d'abord récupéré par la recherche exhaustive des médiateurs de service afin de trouver lequel possède le profil d'accès du patient (le médiateur de services de consignation (MS) du médecin de confiance du patient sera le seul à répondre positivement). Une fois le profil récupéré, le médiateur d'accès peut le conserver en tant que donnée de la session afin d'accélérer les requêtes suivantes (autres recherches ou consultations). Faisant référence à la figure 11 , la consultation d'un document consiste à obtenir l'intégralité d'un document d'après sa référence. Pour cela le médiateur d'accès aux dossiers 25 s'adresse directement au médiateur de service de consignation 29 concerné. Bien que les droits d'accès aient été vérifiés lors de l'étape de recherche, ils doivent l'être de nouveau lors de la consultation afin de parer au cas où une référence serait transmise à une autre personne n'ayant pas les droits requis.
D'autre part, un professionnel ayant accédé une fois à un document doit pouvoir y accéder de nouveau, même si le patient change les droits d'accès entretemps. Cela est réalisé par l'inscription de l'identité du professionnel dans la liste des exceptions liées au document lors de la première consultation.
Comme décrit précédemment, le patient a la possibilité de modifier les profils d'accès à des informations, les droits étant répartis en deux types distincts : des restrictions basées sur des profils de documents et des exceptions autorisant l'accès à des documents ou dossiers spécifiques par des personnes particulières.
Pour mettre à jour le profil d'accès (voir Fig. 12), le médiateur d'accès aux dossiers 25 contacte le médiateur de service de consignation 29 du médecin de confiance du patient et lui donne le nouveau profil à sauvegarder. Pour mettre à jour les exceptions d'accès, le médiateur d'accès aux dossiers transmet à chaque médiateur de service de consignation 29' les exceptions qui le concernent. Les exceptions sont stockées dans la base des droits d'accès 60' du système serveur consignataire des dossiers correspondants. Le déroulement des étapes de modification des droits d'accès est montré dans la figure 12. La figure 13 montre comment le service à valeur ajoutée 31a, 31 b, en l'occurrence l'aide à la prescription médicamenteuse, s'intègre au sein du réseau sécurisé.
La prescription de médicaments de manière électronique comporte une réelle valeur ajoutée si elle est épaulée par un système de détection d'interactions médicamenteuses. Dans le cadre du système de santé informatisé, le service de prescription se renseigne sur l'ensemble des prescriptions en cours pour le patient concerné auprès des médiateurs de service de consignation 29, 29' afin de détecter d'éventuelles incompatibilités entre des médicaments prescrits par des professionnels différents.
Afin de prévenir des problèmes liés aux incompatibilités médicamenteuses, le système d'aide à la prescription recherche toutes les prescriptions en cours publiées sur le réseau du système de santé informatisé, et cela malgré les restrictions d'accès définies par le patient. Néanmoins, en cas d'incompatibilité avérée, le prescripteur est averti, mais de manière à ce que des informations auxquelles il n'a normalement pas accès, ne lui soient pas divulguées.
Faisant référence aux figures 1 et 2, le système serveur point d'interconnexion 5 comprend un médiateur de services externes 30 qui agit comme passerelle entre le système de santé informatisé et d'autres réseaux médicaux ou à valeur ajoutée. Les fonctions principales - de ce système de serveur point d'interconnexion 5 sont les suivantes :
authentification mutuelle; conversions de formats et de protocole; relais de messagerie; proxy applicatif; gestion d'erreurs; • administration : répond aux commandes définies par l'interface commune d'administration applicative.
Le système de santé informatisé comprend en outre des journaux applicatifs 55, 58, 59 pour conserver une trace des opérations effectuées par un ou plusieurs composants du réseau, ces applications étant accessibles par tout composant local. Afin de ne pas créer un point de centralisation de données confidentielles, chaque médiateur technique est muni de son propre journal applicatif qui permet d'effectuer des contrôles à posteriori en cas de problèmes (accès illicite, mauvaise décision thérapeutique suite aux informations fournies par le réseau, etc.). Des données traitées par les journaux applicatifs sont un timbre temps (timestamp), l'identification des utilisateurs participant à l'opération, la nature de l'opération, l'identification des documents concernés, et autres paramètres pertinents de l'opération.
Les fonctions principales des journaux applicatifs sont les suivantes
• enregistrement d'une trace;
• interrogation : recherche et restitution des traces correspondant à un critère de recherche portant sur les paramètres enregistrés;
• nettoyage des traces obsolètes, si nécessaire;
• administration : répond aux commandes définies par l'interface commune d'administration applicative.
Le réseau fédérateur 4 est un réseau de communication à haut débit entre les infrastructures points d'accès 2a, 2b et les systèmes serveurs consignataires de données 3 ainsi que les systèmes serveurs points d'interconnexion 5. Toutes les données circulant sur le réseau fédérateur sont chiffrées, la fonction codage/décodage des données étant assurée par les concentrateurs VPN situés dans les infrastructures points d'accès et dans chaque système serveur consignataire de données et chaque système serveur point d'interconnexion. Le réseau fédérateur est, dans l'exemple décrit, un réseau fermé de type logique, tel qu'un réseau régional ou métropolitain (city network) fermé utilisant une infrastructure fibre optique, dédié à un groupe d'utilisateurs autorisés. Il est également possible, dans la mesure où cela est disponible, d'avoir un réseau fermé basé sur une infrastructure privée, c'est-à-dire à utilisation unique pour le système de santé informatisé.
Le système de santé informatisé a de préférence au moins deux points d'infrastructure d'accès 2a, 2b localisés sur des sites différents afin d'augmenter la sécurité de sauvegarde des données techniques et administratives et d'assurer l'accès et le fonctionnement du réseau en cas de panne d'un ou de plusieurs composants d'une des infrastructures points d'accès.
Faisant référence à la Fig. 4, les redondances mises en place au niveau des points d'accès se situent à deux niveaux:
• Au niveau global, chaque infrastructure point d'accès est capable de fonctionner de façon indépendante et de reprendre l'ensemble du trafic pris en charge par l'autre en cas de panne ou d'opération de maintenance préventive sur ce dernier;
• Au niveau de chaque point d'accès, des redondances sont introduites, tant au niveau des pare-feu 10 (clusters) que des commutateurs sensibles(doublement des équipements et des liens qui les connectent). Ainsi, une panne simple d'un équipement ne devrait pas aboutir à la mise hors service de l'infrastructure point d'accès. Pour ce prémunir contre une panne d'une des infrastructures points d'accès au réseau fédérateur 4, un lien direct fibre optique 17 relie les deux concentrateurs VPN intersite 18 de chaque infrastructure point d'accès.
Les deux infrastructures points d'accès sont par ailleurs interconnectées par des liaisons fibres optiques directes au niveau des zones services et zone haute sécurité. Ceci permet la réplication des différents serveurs et données qui doivent être consistants entre les deux sites sans surcharger inutilement les accès au réseau fédérateur ni le chemin interne à travers un voire deux pare- feu. Des réseaux locaux virtuels VLAN (Virtual Local Area Network) communs aux deux infrastructures points d'accès peuvent ainsi être créés, par exemple en utilisant le protocole 802.1q sur Gigabit Ethernet.
Donc, de préférence, trois paires de fibres optiques relient les infrastructures points d'accès pour assurer les fonctions de redondance et de réplication entre les deux points d'accès.
A titre d'exemple, deux plates-formes technologiques sur lesquelles le système de santé informatisé peut être basé, sont résumées dans le tableau ci-après:
Figure imgf000044_0001
Pour la communication entre un logiciel client et un médiateur d'accès, afin de permettre à différents éditeurs de logiciel d'intégrer les services de publication, de recherche et de consultation de documents sur le système de santé informatisé, il est avantageux de proposer une interface de communication ouverte. Dans cette optique, une interface de type Web services basée sur SOAP/HTTP peut être utilisée dans l'état actuel de la technologie. Pour la communication entre un médiateur d'accès et un médiateur de .service, les médiateurs étant des composants logiciels techniques internes au système de réseau sécurisé, le choix d'un standard d'interfaçage entre ceux-ci est dépendant de leur implémentation. Une implémentation basée sur J2EE peut utiliser RMI/IIOP, une implémentation basée sur .NET peut utiliser .NET Remoting, mais d'autres possibilités existent : JXTA (communication peer to peer), des Web services, des queues de messages et d'autres.
L'interface de bases de données pour avoir accès aux bases de données (essentiellement par les médiateurs de service), peut se faire par les standards classiques que sont JDBC dans le monde Java ou ODBC, et ADO dans le monde de Microsoft.
L'interface d'administration des composants gérés par le système de réseau sécurisé tels que les médiateurs peut utiliser les standards les plus appropriés à la plate-forme d'implémentation (RMI/IIOP, JMX, Web Services, WMI...).
Pour l'interface d'annuaires, le système de réseau sécurisé comporte un annuaire central des professionnels de santé utilisé par les utilisateurs à travers le service de messagerie sécurisée, mais aussi par les professionnels de la santé. L'accès à cet annuaire peut se faire par le standard LDAP. D'autre part, le système de réseau sécurisé maintient à jour un registre de l'ensemble des médiateurs de service faisant partie du réseau, afin que les médiateurs d'accès sachent où rediriger les requêtes de manipulation de documents. Ce registre peut être vu comme une ressource LDAP du réseau.
Le diagramme de la figure 3 illustre la transposition du modèle d'architecture logique selon les choix technologiques exposés plus haut. Cette solution est basée sur les technologies Java/J2EE, mais d'autres solutions utilisant d'autres technologies comme .Net sont possibles. L'architecture est de type n-tiers : elle est divisée en couches séparant clairement les responsabilités de présentation, de logique métier, et de stockage des données. La partie haute représente la couche cliente, matériellement présente chez les professionnels de santé accédant au système de santé informatisé. La partie centrale matérialise la couche de présentation et les services métiers liés au système de santé informatisé : les médiateurs d'accès et de service, le serveur de messagerie, les services à valeur ajoutée. Enfin, la partie basse fait apparaître les composants techniques du système de santé informatisé ainsi que les bases de données.
En ce qui concerne les accès par les utilisateurs (clients), les interfaces adoptées sont basées sur des technologies ouvertes et indépendantes d'une plate-forme spécifique (HTTP, SOAP, SMTP, POP3, LDAP...). Les interfaces plus techniques utilisées au sein du système de réseau sécurisé sont liées aux technologies du monde Java, en l'occurrence RMI/IIOP et JDBC essentiellement.
La couche de présentation Web utilise des services HTTP servant des pages HTML statiques (Apache, par exemple) et des pages dynamiques de type JSP et Servlet.

Claims

REVENDICATIONS
1. Système de réseau informatique sécurisé pour la gestion de données protégées, accessible par des utilisateurs (6) comprenant des professionnels de santé et des patients munis de cartes à puce pour l'authentification et l'autorisation des utilisateurs dans le système, le système comprenant au moins une infrastructure point d'accès (2a, 2b) reliée à travers un réseau de communication fédérateur fermé (4) à une pluralité de systèmes serveurs consignataires de données (3a, 3b, 3c) situés sur des sites différents, chaque système serveur consignataire de données comprenant au moins une base de données (62) dans laquelle des données protégées constituant des documents médicaux sur des patients sont stockées, et un médiateur technique de service de consignation (29) pour gérer l'accès aux documents stockés dans la base de données, différents documents formant un dossier médical relatif à une personne pouvant être distribués sur plusieurs des systèmes serveurs consignataires de données, l'infrastructure point d'accès comprenant au moins un médiateur d'accès aux dossiers sous forme d'un système serveur avec applications qui contrôle et gère l'accès d'utilisateurs (6) aux documents stockés dans les systèmes serveurs consignataires de données.
2. Système selon la revendication 1 , caractérisé en ce que le système serveur consignataire de données comprend un serveur de documents (40) et un registre (61 ) comprenant des informations sur les droits d'accès à différents documents stockés dans ce serveur pour déterminer les droits d'accès aux documents d'un dossier médical d'un patient, en fonction de l'identité ou du rôle de l'utilisateur demandant l'accès au dossier.
3. Système selon la revendication 2, caractérisé en ce que le registre d'accès est sous forme d'un registre d'exceptions qui stocke les informations sur les accès non-autorisés.
4. Système selon l'une des revendications précédentes, caractérisé en ce qu'il comprend une zone de services dans laquelle se trouve le médiateur d'accès aux dossiers (25) et une zone de haute sécurité (15) séparée de la zone de services par un pare-feu (10c), la zone haute sécurité comprenant un système serveur d'autorité de certification (36) dans lequel sont stockées des données sur des certificats électroniques correspondant aux certificats électroniques stockés sur les cartes à puce des utilisateurs.
5. Système selon la revendication précédente, caractérisé en ce que la zone de haute sécurité comprend un annuaire électronique d'informations sur des professionnels de santé, comprenant l'identité et le rôle de ces professionnels.
6. Système selon l'une des revendications précédentes, caractérisé en ce qu'il y a au moins deux infrastructures points d'accès (2a, 2b) séparées physiquement et reliées par le réseau de communication fédérateur (4).
7. Système selon l'une des revendications précédentes, caractérisé en ce que les infrastructures points d'accès comprennent une zone VPN (Virtual Private Network) externe (8) reliée à une zone de services (11) à travers un pare-feu (10b) dans lequel se trouve le médiateur d'accès aux dossiers (25), relié à une zone de haute sécurité (15) à travers un pare-feu (10c).
8. Système selon la revendication précédente, caractérisé en ce que la zone VPN externe (8) comprend un concentrateur VPN, tel qu'un concentrateur SSL (Secure Socket Layer) pour la communication par internet (7) avec des postes d'utilisateur (6) à travers un tunnel de communication sécurisé.
9. Système selon la revendication 7 ou 8, caractérisé en ce que la zone de services comprend un médiateur d'accès spécialisé (24) sous forme d'un système serveur avec applications pour gérer les accès des utilisateurs à des services électroniques à valeur ajoutée comprenant une aide électronique à la prescription médicamenteuse.
10. Système selon la revendication précédente, caractérisé en ce que le système électronique d'aide à la prescription médicamenteuse (31 ) comprend une base de données comprenant des informations sur des médicaments et un logiciel pour déterminer l'adéquation d'une diagnose en fonction de l'interaction entre médicaments, allergies ou autres conditions ressortant d'un dossier médical d'un patient.
11. Système selon l'une des revendications précédentes, caractérisé en ce que le serveur de documents (40) du système serveur consignataire de données est distinct du système serveur du médiateur technique de services de consignation (29) et relié au réseau fédérateur (4) à travers un pare-feu (10b).
12. Système selon l'une des revendications précédentes, caractérisé en ce que chaque système serveur consignataire de données comprend un journal électronique pour journaliser toutes les requêtes concernant le stockage ou la lecture de données protégées.
13. Système selon l'une des revendications précédentes, caractérisé en ce que l'infrastructure point d'accès comprend une zone de gestion (16) comprenant des systèmes serveurs (33, 38, 28) pour la gestion de l'infrastructure et des applications du système de santé informatisé, cette zone étant distincte de la zone de services dans laquelle se trouve le médiateur d'accès aux dossiers (25) et n'étant accessible que par du personnel d'administration responsable des opérations de gestion de l'infrastructure.
14. Système selon la revendication précédente, caractérisé en ce que la zone de gestion comprend un système serveur de gestion de sécurité (28) relié à des sondes de détection d'intrusion (27) installées sur des lignes de communication du système de santé informatisé (2) et ayant des applications pour reconstituer ou tracer des événements en analysant les journaux de l'infrastructure point d'accès et des systèmes serveurs consignataires de données (3a, 3b, 3c) ainsi que des données transmises par les sondes de détection d'intrusion.
15. Système selon la revendication 13 ou 14, caractérisé en ce que la zone de gestion comprend un système serveur de gestion d'infrastructure (33) comprenant un registre de configuration (57) dans lequel sont stockées les informations concernant la configuration logique et physique du système de santé informatisé, incluant les adresses des médiateurs et des systèmes serveurs pour des services à valeur ajoutée.
16. Système selon l'une des revendications précédentes, caractérisé en ce que l'infrastructure point d'accès comprend un serveur de messagerie sécurisé pour l'envoi de messages électroniques entre utilisateurs ou pour la transmission de données protégées, le serveur de messagerie sécurisé utilisant les clés électroniques privées des cartes à puce des utilisateurs pour chiffrer les données transmises.
17. Système selon l'une des revendications précédentes, caractérisé en ce qu'il comprend un ou plusieurs systèmes serveurs points d'interconnexion (5) reliés, d'une part aux infrastructures points d'accès (2a, 2b) à travers le réseau fédérateur (4), d'autre part à d'autres réseaux médicaux ou des services à valeur ajoutée, le système serveur point d'interconnexion comprenant un médiateur de services externes (30) agissant comme passerelle entre le système de santé informatisé et les autres réseaux et comprenant les fonctions d'authentification mutuelle, de conversion de formats et de protocole, et de relais de messagerie.
18. Système selon l'une des revendications précédentes, caractérisé en ce qu'il comprend des journaux applicatifs (55, 58, 59) pour conserver une trace des opérations effectuées par un ou plusieurs composants du système, les données traitées par les journaux applicatifs étant l'identification des utilisateurs participant à l'opération, la nature de l'opération, l'identification des documents concernés et un timbre temps.
19. Procédé de gestion de données dans un système de réseau informatique sécurisé, comprenant au moins une infrastructure point d'accès (2a, 2b) reliée à travers un réseau de communication fédérateur fermé (4) à une pluralité de systèmes serveurs consignataires de données (3a, 3b, 3c) situés sur des sites différents, chaque système serveur consignataire de données comprenant au moins une base de données (62) dans laquelle des données protégées constituant des documents médicaux sur des patients sont stockées, et un médiateur technique de services de consignation (29) pour gérer l'accès aux documents stockés dans la base de données, le procédé comprenant la création et le stockage desdits documents dans des serveurs de documents (40) situés dans lesdits systèmes serveurs consignataires de données, lesdits documents constituant un dossier médical d'un patient étant distribués sur différents systèmes serveurs consignataires de données.
20. Procédé selon la revendication précédente, caractérisé en ce que l'on stocke, au moyen d'une application de gestion du profil d'accès (51), un profil d'accès, défini par un patient, aux documents de son dossier médical dans au moins un des systèmes serveurs consignataires de données (3a, 3b, 3c).
21. Procédé selon la revendication précédente, caractérisé en ce que l'on stocke dans chaque système serveur consignataire de données dans lequel des documents d'un dossier médical sont stockés, des listes de contrôle d'accès associées spécifiquement aux documents stockés et déterminant le profil d'accès seulement pour ces documents.
22. Procédé selon l'une des deux revendications précédentes, caractérisé en ce que l'on stocke des informations sur les identités et les rôles de professionnels de santé faisant partie des utilisateurs du système de santé informatisé dans un annuaire du système serveur dans une zone haute sécurité de l'infrastructure point d'accès, cet annuaire étant accédé par le médiateur d'accès (25) afin de déterminer, entre autre, les droits d'accès des professionnels de santé selon leur identité et leur rôle.
23. Procédé selon l'une des quatre revendications précédentes, caractérisé en ce que, lors de l'émission d'une requête de recherche d'un document par un utilisateur autorisé du système de santé informatisé, la requête de recherche est distribuée par le médiateur d'accès aux dossiers (25) à tous les médiateurs de services de consignation (29) et les droits d'accès à partir des profils de droits d'accès au niveau de chaque médiateur de services de consignation (29) sont vérifiés.
24. Procédé selon l'une des cinq revendications précédentes, caractérisé en ce que, lors de la création et du stockage d'un document, le médiateur d'accès aux dossiers au moyen d'une application de validation, vérifie la conformité du document quant à son format, sa syntaxe, et ses attributs.
25. Procédé selon l'une des six revendications précédentes, caractérisé en ce que, lors de la consultation d'un document, le médiateur d'accès aux dossiers (25) s'adresse directement au médiateur de services de consignation (29) concerné après l'étape de recherche du document et re-vérifie les droits d'accès aux documents par rapport à l'utilisateur demandant la consultation avant de le transmettre à l'utilisateur.
26. Procédé selon l'une des sept revendications précédentes, caractérisé en ce que l'utilisateur accède à un service électronique d'aide à la prescription médicamenteuse au moyen d'un système serveur d'accès spécialisé, le système serveur d'accès spécialisé se renseignant auprès de tous les systèmes serveurs consignataires de données pour obtenir les informations sur l'ensemble des prescriptions en cours pour le patient concerné.
PCT/IB2004/001696 2003-05-23 2004-05-18 Systeme de reseau informatique securise pour la gestion de donnees personnelles WO2004104877A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DK04733604.5T DK1627352T3 (en) 2003-05-23 2004-05-18 Secured IT network system for handling personal data
ES04733604.5T ES2575510T3 (es) 2003-05-23 2004-05-18 Sistema seguro de red informática para la gestión de datos personales
EP04733604.5A EP1627352B1 (fr) 2003-05-23 2004-05-18 Systeme de reseau informatique securise pour la gestion de donnees personnelles

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH20030929/03 2003-05-23
CH9292003A CH696748A5 (fr) 2003-05-23 2003-05-23 Système de réseau informatique sécurisé pour la gestion de données personnelles.

Publications (1)

Publication Number Publication Date
WO2004104877A1 true WO2004104877A1 (fr) 2004-12-02

Family

ID=33459811

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2004/001696 WO2004104877A1 (fr) 2003-05-23 2004-05-18 Systeme de reseau informatique securise pour la gestion de donnees personnelles

Country Status (6)

Country Link
EP (2) EP1627352B1 (fr)
CH (1) CH696748A5 (fr)
DK (2) DK2618285T3 (fr)
ES (2) ES2575510T3 (fr)
PT (1) PT2618285T (fr)
WO (1) WO2004104877A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005109211A1 (fr) * 2004-05-07 2005-11-17 Chng, Raymond Systeme de gestion de fichiers
FR3004827A1 (fr) * 2013-04-19 2014-10-24 Hopi Procede pour l'utilisation a distance d'un lecteur usb de carte a puce associe a une carte professionnelle de sante ou a une carte patient dite carte vitale et systeme associe.
CN111383748A (zh) * 2020-03-09 2020-07-07 武汉比邻软件有限公司 基于弹性计算和5g技术的医疗集成平台系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587142B (zh) * 2018-12-10 2022-08-16 北京华虹集成电路设计有限责任公司 一种面向业务流的数据安全接入模块和设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002005061A2 (fr) 2000-07-06 2002-01-17 David Paul Felsher Infrastructure de dossiers d'information, et systeme et procede associes
WO2002008944A1 (fr) * 2000-07-20 2002-01-31 Global Healthcare Exchange, Llc. Gestion integree d'informations de produit
US20030039362A1 (en) * 2001-08-24 2003-02-27 Andrea Califano Methods for indexing and storing genetic data

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002005061A2 (fr) 2000-07-06 2002-01-17 David Paul Felsher Infrastructure de dossiers d'information, et systeme et procede associes
WO2002008944A1 (fr) * 2000-07-20 2002-01-31 Global Healthcare Exchange, Llc. Gestion integree d'informations de produit
US20030039362A1 (en) * 2001-08-24 2003-02-27 Andrea Califano Methods for indexing and storing genetic data

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005109211A1 (fr) * 2004-05-07 2005-11-17 Chng, Raymond Systeme de gestion de fichiers
FR3004827A1 (fr) * 2013-04-19 2014-10-24 Hopi Procede pour l'utilisation a distance d'un lecteur usb de carte a puce associe a une carte professionnelle de sante ou a une carte patient dite carte vitale et systeme associe.
CN111383748A (zh) * 2020-03-09 2020-07-07 武汉比邻软件有限公司 基于弹性计算和5g技术的医疗集成平台系统

Also Published As

Publication number Publication date
DK1627352T3 (en) 2016-06-27
EP1627352B1 (fr) 2016-03-09
PT2618285T (pt) 2017-04-07
ES2619431T3 (es) 2017-06-26
EP1627352A1 (fr) 2006-02-22
ES2575510T3 (es) 2016-06-29
EP2618285B1 (fr) 2017-01-04
CH696748A5 (fr) 2007-11-15
DK2618285T3 (en) 2017-03-27
EP2618285A1 (fr) 2013-07-24

Similar Documents

Publication Publication Date Title
van Beek et al. Digital forensics as a service: Game on
EP1327345B1 (fr) Procede de controle d'acces a des adresses de sites internet
EP3920465B1 (fr) Système de partage de données privées
US11936716B2 (en) System and method for providing a secure network
CN103795702A (zh) 用于数据的发送控制
FR2803461A1 (fr) Procede et dispositif pour la gestion de groupes dans l'entretien de services distants
US20120259635A1 (en) Document Certification and Security System
van den Braak et al. Trusted third parties for secure and privacy-preserving data integration and sharing in the public sector
Chadwick et al. Using the Internet to access confidential patient records: a case study
CN112837194A (zh) 一种智慧系统
EP2618285B1 (fr) Système de réseau informatique sécurisé pour la gestion de données personnelles
JP6680754B2 (ja) 管理装置及び管理方法
Al-Sumaidaee et al. Non-Fungible Tokens (NFTs) as a Means for Blockchain Networks Integration in Healthcare
Taechoyotin et al. Health link: scalable health information exchange platform in Thailand
Ots Azure Security Handbook
Sharma et al. Advanced Digital Forensic IoT Based Secure Communication
Sharda Tiwari et al. A Hybrid Framework based on IoT and Blockchain Network to Store the Patient Health Data
US20220374872A1 (en) Platform for building decentralized applications
Fong et al. Secure Server Storage Based IPFS through Multi-Authentication
EP3709274B1 (fr) Système de vote électronique sur internet
Doupi et al. Implementing interoperable secure health information systems
EP3994596A1 (fr) Architecture informatique en nuage securisee et procede de securisation
Nemati Security and Privacy Assurance in Advancing Technologies: New Developments: New Developments
Babb Factors influencing use of virtual private networks over traditional wide area networks by decision-making technology managers
WO2022072624A1 (fr) Système et procédé de fourniture d'un réseau sécurisé

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DPEN Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed from 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2004733604

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2004733604

Country of ref document: EP