Réseau de transmission de données à préservation du secret
La présente invention se rapporte aux réseaux de transmission de données et plus particulièrement à ceux dans lesquels les données doivent être accessibles de manière différentiée selon les intervenants. Il serait très souhaitable d'avoir un réseau de transmission de données disponible notamment pour le corps médical et les établissements d'assurance maladie, dans lequel les données médicales des assurés seraient conservées et tenues à jour en permanence en pouvant être consultées par les médecins et autres auxiliaires de santé et, tout en préservant le secret médical, par le gestionnaire,
L'invention y pourvoit par un réseau de transmission de données qui comprend une mémoire ayant un fichier d'identification à n feuillets et un fichier de données à n feuillets, chaque feuillet du fichier d'identification étant chaîné par un code de chaînage identification-données à un feuillet correspondant du fichier de feuillets de données. Les n feuillets correspondent au nombre n de patients qui sont traités par le réseau. Celui-ci comprend en outre m appareils émetteurs/récepteurs correspondant au nombre des médecins qui utilisent le réseau. Chaque appareil émetteur/récepteur est relié à la mémoire et a un lecteur d'une parmi n cartes à puces, un moyen d'écriture parmi n codes et un moyen de contrôle de la concordance d'un xeme code écrit et d'une xeme carte à puce lue, le moyen de contrôle envoyant, s'il y a concordance, un message d'autorisation au fichier d'identification, lequel a des moyens pour autoriser alors une liaison écriture/lecture entre le xe e ; feuillet du fichier de données et l'appareil ayant envoyé le message d'autorisation.
Chaque patient a sa propre carte à puce et son propre code. Par carte à puce, on englobe dans le présent mémoire également un système d'identification biométrique. Lorsqu'il se présente chez l'un des médecins, il met sa carte à puce dans l'appareil émetteur/récepteur du médecin et écrit son code. Lorsque le moyen de contrôle de la concordance constate la concordance de la carte et du code, il envoie, de préférence en même temps qu'un code d'identification propre à chaque appareil émetteur/récepteur, un message d'autorisation. A réception de ce message, et le cas échéant, du code de l'appareil, le fichier d'identification autorise le médecin à consulter le dossier du patient, c'est-à-dire le xeme feuillet du fichier de données, et le cas
échéant à y écrite des données nouvelles. Le réseau comprend aussi un ordinateur gestionnaire relié à la mémoire et ayant accès à ces deux fichiers, mais non au code de chaînage identification-données. Le gestionnaire peut ainsi gérer la mémoire, établir des statistiques suivant les maladies, les médicaments prescrits et autres, mais il ne peut pas attribuer tel acte médical, ou telle maladie, ou toute autre donnée à un patient particulier. Le secret médical est ainsi protégé.
Suivant un mode de réalisation particulièrement utile pour obtenir une bonne gestion, la mémoire a un fichier d'archivage ayant m feuillets, sur lequel est enregistré, pour chaque appareil, les instants de début et de fin de liaison entre l'appareil et la mémoire. Le gestionnaire a accès à ce fichier et cela lui permet d'exercer une surveillance a posteriori sur la durée des actes effectués par le médecin titulaire de l'appareil émetteur/récepteur. Dans le même but, il est avantageux que la mémoire ait un fichier à m feuillets d'écriture sur lequel sont enregistrées, pour chaque appareil, les données qui sont entrées dans la mémoire par l'appareil. Le gestionnaire peut ainsi se rendre compte des actes prescrits par le médecin titulaire de l'appareil mais sans pouvoir les attribuer au patient.
Enfin, suivant un perfectionnement permettant aux malades de consulter le feuillet de données qui leur est propre, il est prévu une pluralité de n terminaux de réception, chaque terminal étant relié au moyen d'autorisation du fichier d'autorisation et celui-ci, sur réception du ye e code autorisant seulement en lecture la liaison entre le yeme terminal et le yeme feuillet du fichier de données. Chaque malade peut ainsi consulter le feuillet qui lui est attribué • mais sans pouvoir le modifier.
Les figures 1 à 6 des dessins annexés illustrent un réseau suivant l'invention.
Le réseau schématisé aux figures comprend une mémoire 1 ayant un fichier 2 d'identification à n feuillets et un fichier 3 de données à n feuillets, chaque feuillet du fichier d'identification étant chaîné par un code de chaînage d'identification donné à un feuillet correspondant du fichier 3 de feuillet de données. La mémoire comprend en outre un fichier 4 d'archivage et un fichier 5 d'écriture.
On accède à la mémoire par un système 6 de reconnaissance. A ce système de reconnaissance, sont reliés par des moyens de télécommunication un gestionnaire G, n terminaux T, un seul d'entre eux étant
représenté au dessin et m appareils émetteurs/récepteurs TCK, un seul d'entre eux étant représenté au dessin. Chaque terminal est affecté à un patient, étant entendu que certains patients peuvent ne pas avoir leur propre terminal et ne pas être ainsi en mesure de consulter la mémoire. Chaque appareil TCK est affecté à un médecin. Chaque appareil TCK a un lecteur L de carte à puce, un clavier C permettant d'écrire un code et un moyen de contrôle M1 constitué d'une mémoire qui permet de contrôler la concordance d'un code frappé par le patient sur le clavier C et du code figurant sur la carte à puce que le patient a introduit dans le lecture L de carte à puce. Lorsque cette concordance est réalisée, et lorsque le médecin a frappé sur le clavier son propre code d'identification et que ce code a été contrôlé par les moyens de contrôle à l'aide d'une mémoire M2 de ce code, les deux mémoires M1 et M2 envoient à une porte logique ET P un signal d'autorisation qui est transmis au système de reconnaissance 6 par une ligne 8. A réception de ce signal, le système 6 de reconnaissance reconnaît que le TCK en question est autorisé à accéder au xeme feuillet du fichier 3 de données. Il envoie un signal correspondant au fichier 2 d'identification qui, par le code de chaînage identification donné, et met le TCK en question en liaison de communication par une ligne 9 avec le xeme feuillet du fichier 3 de données. Cette communication par la ligne 9 autorise tant une lecture qu'une écriture dans le xème feuillet du fichier 3. Chaque TCK a une mémoire permettant de mémoriser les données qu'il reçoit pour pouvoir les lire ensuite sur un écran ou directement un écran et, de la même façon, des moyens d'émission, tant de données se présentant sous la forme de caractères alphanumériques que " d'images.
Dans le même temps, dès que la communication entre le TCK en question et le fichier 2 d'identification a été autorisée, l'instant du début et de fin de la liaison entre l'appareil TCK et le fichier 2 d'identification ou éventuellement le fichier 3 de données est enregistré dans le fichier 4 d'archivage et, dans le même temps aussi, le fichier 5 d'écriture enregistre, classé suivant les appareils TCK, donc en l'occurrence pour l'appareil TCK en question, les données qui sont entrées dans le fichier 3 de données par l'appareil TCK.
L'ordinateur gestionnaire G peut se faire reconnaître par le système 6 de reconnaissance par l'envoi d'un signal par une ligne 10 et celui- ci lui donne accès à tous les fichiers 2, 3, 4, 5 de la mémoire, mais non au
code de chaînage d'identification-données.
Enfin, un terminal T, est relié par une ligne 11 au système 6 de reconnaissance. Celui-ci, sur simple appel téléphonique, mais de préférence après reconnaissance d'un code d'identification, autorise le terminal T à lire le feuillet du fichier 3 de données qui lui est attribué, et le cas échéant le feuillet du fichier 2 d'identification qui lui est attribué, mais sans pouvoir écrire sur ces feuillets. Son appel est également enregistré dans le fichier 4.
Un ordinateur A contrôleur est relié à la mémoire 1 par 12 en appel et par 13 en réponse avec possibilité de lire les fichiers 2 et 3 avec leur chaînage mais sans possibilité d'écrire.
Suivant une variante, l'ordinateur A ne peut pas écrire des données médicales dans le fichier 3, mais peut y écrire des données administratives.
En résumé, la spécificité de ce système réside dans une sécurisation à double entrée simultanée en temps réel des codes d'accès sans possibilité de falsification, toutes les informations étant mémorisées de manière indélébile.
Quel que soit le moyen utilisé, le demandeur sera toujours identifié au travers de la concordance de son numéro de téléphone et son numéro d'identification , la date, l'heure et les paramètres consultés ou inscrits, seront automatiquement enregistrés dans la base de données de manière indélébile. •
L'assuré est identifié au travers de sa carte VITALE ou de son équivalent et de son numéro personnel d'appel. Il doit ensuite indiquer son- code secret préalablement fourni par le gestionnaire/hébergeur.
Le médecin ou l'intervenant médical ou paramédical (IMP) est reconnu par son numéro professionnel. Le RSI reconnaît ainsi la fonction de l'IMP et lui permet d'accéder à son domaine réservé.
Les données du RSI sont accessibles après cette double identification effectuée au moyen d'un terminal spécifique appelé TCK.
Le TCK est un boîtier autonome composé d'un écran digital convivial ( mémoire interne) et de touches alphanumériques permettant une saisie successive des identifications et codes.
Les différents cas de figure d'accès à la base se présentent de la manière suivante :
1 - Patient seul ( figure 2 )
La consultation de son dossier personnel du RSI est effective à tout moment après introduction de son identification comprenant obligatoirement son code secret personnel. Aucune modification dans la base ne lui est permise. 2- Patient + IMP ( figure 3 )
Après validation par le biais du TCK. l'IMP peut ouvrir le dossier du patient, et, selon sa qualification utiliser les fonctionnalités du RSI.
3- Patient incapables ( figure 4 )
En cas d'incapacité chronique ou accidentelle le code secret d'un patient identifié est remplacé par l'entrée dans le TCK du code de trois praticiens formant collège.
4- Médecin conseil de l'assureur ( figure 5 )
Il a la capacité de consulter le dossier de tout patient par l'intermédiaire d'un poste référencé et de son code personnel et d'écrire des données d'un premier type (administratif) mais non d'écrire des données d'un second type (médical).
5- Le Gestionnaire/hébergeur ( figure 6)
Ne détenant pas le code de chaînage il accède soit au fichier des patients soit à celui des pathologies et des prescriptions DESCRIPTION DES FICHIERS
L'architecture des fichiers est simple. La base RSI comprend cinq groupes de fichiers.
Les fichiers coordonnées du patient et données médicales ne sont connectables qu'après activation d'une clef générée par l'adjonction de la- carte Vitale et du code personnel secret.
1 Identification et coordonnées du patient
2 Données Médicales
- Antécédents médicaux significatifs et groupe sanguin
- Allergies - Historique des événements médicaux comprenant toutes informations partitionées afin de permettre une connexion sélective : o médicaments prescrits, délivrés et administrés par intervenant paramédical. o Imageries médicales o Biologie médicale courante o Biologie médicale sécurisée
o Compte rendu d'intervention o Compte rendu d'hospitalisation o Anatomopathologie o Dentaire - Zones libres
3 Suivi des connexions
Les connexions sur le RSI font l'objet d'un enregistrement systématique comprenant notamment la date et les coordonnées de l'intervenant ainsi que du fichier consulté codé. - 4 Données externes
Médicaments Maladies ( Encyclopédie) Mannequin RSI 5 Praticiens et paramédicaux FONCTIONNEMENT
Le RSI est accessible à des niveaux différents aussi bien par le patient que par les intervenants médicaux.
L'intervention de l'intervenant est subordonné à l'accord du patient. En cas de force majeure, un collège de trois médecins est habilité à forcer l'accès au système.
Le patient est libre d'accéder à la consultation de son dossier dans le RSI sans pouvoir en modifier le contenu.
Le gestionnaire/hébergeur, chargé de la maintenance , de la mise à jour non médicale du système et des traitements statistiques accède- au domaine de sa compétence librement et demeure sous le contrôle d'une autorité externe.
Les entrées dans le système sont datées, mémorisées et identifiées de manière irréversible.
Le fichier RSI permet l'élaboration de statistiques à tous les niveaux intéressant la santé ou la démographie.
Ce système intègre la rédaction de la prescription médicale ainsi que son exécution par un pharmacien et plus généralement tout intervenant paramédical dans son domaine d'activité.
Les intervenants sont constitués des patients (tous résident sur le territoire national), les intervenants médicaux et paramédicaux et les gestionnaire/hébergeurs de la base RSI.
Patient
Il accède au réseau à sa guise après reconnaissance de sa carte Vitale et d'un code secret qui lui est propre. Aucune modification dans la base ne lui est autorisée ; il ne fait que consulter. Intervenants Médicaux ( IMP)
Après identification par le patient (carte vitale+code) qui vaut autorisation, l'intervenant médical introduit son numéro d'identification professionnelle.
N° d'identification professionnelle - Médecins
- Pharmacien
- Anatomopathologiste
- Chirurgien dentistes
- Laboratoire - Paramédicaux (Kinésithérapeute, Infirmier, Orthoptiste, Opticien,
Podologue, Orthophoniste, Opticien ) L'interface avec le système RSI est différent selon le consultant
Gestionnaire/hébergeur Il est attribué au gestionnaire un numéro d'appel national Le fichier « coordonnées du patient » est déconnecté des autres fichiers de manière à préserver le secret médical.
- Saisie et contrôle données techniques
- Suivi des connexions
- Mise à jour des informations externes - Statistiques
Le Patient
- Coordonnées personnelles
- Chronologie des événements médicaux
- Traitements en cours - Corrections en cours
L'ASSUREUR Informations relatives au patient et à la chronologie des événements médicaux
Le Médecin - Coordonnées personnelles du patient
- Antécédents médicaux significatifs et allergies
- Chronologie des événements médicaux o médicaments prescrits, délivrés et/ou administrés par intervenant paramédical. o Imageries médicales o Anatomopathologie o Biologie médicale courante o Biologie médicale sécurisée o Compte rendu d'intervention et d'hospitalisation o Dentaire - Traitements en cours
- Corrections en cours et/ou prothèses
- Mannequin RSI (Écorché humain sexué servant de guide d'accès à la pathologie)
- CIN-10 lié à une encyclopédie médicale - VIDAL ou équivalent
- Nouvelle entrée
Laboratoire
- Coordonnées personnelles du patient
- Traitements en cours - Chronologie biologie médicale courante
- Chronologie biologie médicale sécurisée ( double entrée du code)
- Nouvelle entrée spécifique
Anatomopathologiste Il est le seul à intervenir sans l'accord du patient et à la " demande du prescripteur dont il doit indiquer les coordonnées afin de pouvoir valider son entrée dans le RSI. Son domaine reste strictement limité à sa spécialité.
- Coordonnées personnelles du patient
- Historique anatomopathologique - Compte rendu d'interventions chirurgicales
- Nouvelle entrée spécifique
Pharmacien
- Coordonnées personnelles du patient
- Allergies - Traitements en cours
- Chronologie médicaments prescrits
- Nouvelle entrée spécifique
Chirurgien Dentiste
- Coordonnées personnelles du patient
- Allergies - Mannequin RSI limité aux maxillaires
- Chronologie dentaire
- Nouvelle entrée spécifique
Paramédicaux
- Coordonnées personnelles du patient - Nouvelle entrée spécifique