BYOD dans les établissements de santé ?

25787937_sJ’ai récemment publié deux billets sur l’évolution de la messagerie en établissement de santé, la fin des pagettes et les technologies de messagerie qui pourraient éventuellement prendre leur place.

Peu importe la technologie qui émergera, ou en attendant son arrivée, il est clair que les cliniciens utiliseront leurs appareils mobiles personnels pour échanger de l’information. Il est également évident que le système de santé fait face à un enjeu de sécurité et de confidentialité avec cette pratique.

Un article publié en avril décrit bien la problématique. L’information échangée par les cliniciens sur leurs appareils est bien sûr stockée sur ceux-ci, et la perte d’un appareil représente un risque pour les données personnelles de patients. Également, il est probable que cette information soit synchronisée avec un quelconque service d’infonuagique. Dans ce genre de cas, l’information personnelle, même si elle n’est pas stockée dans l’appareil, peut être facilement téléchargée avec les accès configurés dans celui-ci, ou encore peut devenir vulnérable à une brèche dans le service lui-même, comme on l’a vu à quelques reprises avec des brèches très médiatisées au courant des dernières années.

Une phrase importante de l’article est: « You can tell your employees all you want, ‘Don’t text, don’t text, don’t text,’ but they’re going to text. »

Je trouve que cette phrase illustre bien le problème: l’utilisation d’appareils personnels représente un certain risque, mais dans la situation actuelle, des failles équivalentes sinon pires existent. D’abord, l’actuelle absence de plateforme de communication (à l’exception du courriel interne, mais qui ne peut pas vraiment être utilisé dans la pratique clinique) force les cliniciens à utiliser les technologies qu’ils ont à leur disposition; ceci passe certainement par leurs appareils personnels et la messagerie texte. La combinaison pagette – téléphone fixe n’est tout simplement plus à la hauteur du niveau de productivité attendu de nos jours.

Par ailleurs, les cliniciens doivent aussi avoir de l’information clinique disponible pour eux-mêmes, surtout s’il n’y a pas de dossier informatisé en place. Ceci se manifeste par une liste de patients manuscrite ou imprimée sur papier, avec une liste de choses à faire durant la journée. Cette liste papier peut être oubliée quelque part, tomber d’une poche, etc. Les services de synchronisation dans le nuage peuvent être un risque de sécurité, mais au moins ils sont protégés par un mot de passe, un papier tombé par terre n’offre aucune sécurité !

J’ai déjà dit que je crois que la meilleure solution est un système de messagerie dédié, fonctionnant si possible à partir des serveurs d’une organisation mais qui permet aux cliniciens d’utiliser une application installée sur leurs propres appareils, qui conserve un historique limité, et qui peut encrypter les communications lorsqu’elles passent par un réseau public.

Lorsque ceci, ou un équivalent, se mettra en place, je crois que les cliniciens et les organisations seront tentées d’aller vers le modèle Bring Your Own Device (BYOD), où les appareils personnels sont reliés au réseau de l’organisation, d’une part pour une question de coûts, et d’autre part pour éviter de trimbaler plusieurs appareils. La majorité des cliniciens ont déjà un appareil personnel, de toute façon. La question des quelques personnes qui n’en ont pas se posera évidemment.

Deux enjeux de sécurité se poseront alors: d’une part l’introduction de logiciels malveillants sur le réseau par les appareils mobiles, et d’autre part une vulnérabilité des données transférées de l’organisation vers les appareils mobiles. Afin de contrôler ces risques, plusieurs applications de gestion d’appareils mobiles offrent des fonctionnalités pour « sécuriser » les appareils en BYOD, une application de premier plan dans cette gamme est par exemple AirWatch. Je n’aime pas beaucoup ces logiciels, car je trouve qu’ils donnent à un employeur un accès démesuré aux appareils personnels de leurs employés; par exemple avec un contrôle des mises à jour, de l’installation de logiciels, en permettant à l’employeur de réinitialiser à distance l’appareil, etc. Évidemment, ceci dépend de la manière dont c’est géré, puisque ces logiciels offrent quand même la possibilité de compartimenter les éléments d’entreprise et de gérer uniquement ceux-ci. Mais je comprends l’enjeu. Ce sera donc aux cliniciens de bien peser le pour et le contre de donner un accès à leur appareil personnel à leur employeur.

Crédit image: basketman23 / 123RF Stock Photo

La fin des pagettes approche-t-elle ?

90s items

J’écoutais récemment un bon épisode du podcast Healthcare Tech Talk à propos de l’utilisation des téléavertisseurs dans les hôpitaux. Le podcast est une entrevue avec un dirigeant d’une entreprise offrant une plateforme de messagerie texte sécurisée pour les hôpitaux, réalisée à la conférence HIMSS16 qui a eu lieu au début mars. Si on fait abstraction de l’aspect commercial de l’entrevue, il s’agit d’une bonne analyse de la situation actuelle et des alternatives qui commencent à être utilisées. En particulier, une partie de la discussion concerne plusieurs alternatives qui ont été développées au fil des ans et qui n’ont pas réussi à percer en raison de problèmes d’intégration au flot de travail; menant à un retour en force des pagettes. On commence heureusement à voir des alternatives viables apparaître sur le marché. Il faut souligner que la première utilisation des pagettes dans les hôpitaux remonte à 1956 à New York !

Quelques points intéressants:

  • Une étude (commanditée par la compagnie en question, il faut le dire…) a été menée sur environ 200 hôpitaux américains pour établir les coûts d’utilisation des pagettes; on parle d’environ 9$ par mois par appareil pour le service, et près de 180 000$ par année par hôpital pour les coûts de service et de maintenance de ces appareils désuets. Je me demande quels sont les coûts au Québec.
  • Plusieurs alternatives tentées au fil des ans n’ont pas été un succès, notamment des systèmes VoIP avec appareil portatif dédié, des téléphones portables de type « dumbphone » intégrés au réseau téléphonique de l’hôpital, etc. Un point important qui a mené à l’échec de ces solutions est qu’ils ne représentent pas une grande évolution par rapport au pagette; si la personne ne répond pas, on ne sait pas si c’est parce qu’elle est occupée ou si l’appareil est déchargé ou égaré. On se retrouve souvent à avoir un pagette en plus de cet autre appareil.
  • En pratique, on constate déjà que les cliniciens se textent à propos des patients, en utilisant leurs appareils personnels. Ce n’est bien sûr pas idéal du point de vue de la confidentialité, mais le gain d’efficience réalisé en n’ayant pas besoin de trouver un téléphone disponible, et en pouvant répondre en différé si on est occupé incite à utiliser ce mode de communication.
  • La meilleure alternative pour se débarasser des pagettes semble être le texto, probablement un système de messagerie multiplateforme disponible sur les ordinateurs de l’établissement (application desktop), et ayant une application disponible pour les appareils mobiles des cliniciens. Il est tout à fait possible pour un tel système d’être encrypté d’un bout à l’autre, et même de ne conserver aucune donnée sur les appareils personnels des cliniciens (à la Snapchat).
  • Un gain important d’un tel système est la confirmation de livraison des messages; avec le pagette on n’est jamais certain que le message s’est bien rendu à destination.
  • Bien sûr, ceci ramène au premier plan la controverse du BYOD.

J’ai bien hâte de voir si ces nouveaux systèmes de messagerie permettront de finalement laisser de côté cette technologie antique. Il faut quand même souligner qu’au Québec, cela fait moins de 5 ans que les téléphones cellulaires sont permis dans les hôpitaux, et qu’on est en général très en retard pour l’adoption de technologies, surtout dans le système de santé !

Prochaine étape, le fax ?

Crédit image: vintagio / 123RF Stock Photo

Dans la bibliothèque: To Err is Human – Building a Safer Health System

C’est un cliché de commencer un article sur la sécurité des médicaments avec la phrase « The 1999 Institute of Medicine report To Err is Human: Bulding a Safer Health System »… Pourtant, je n’avais jamais eu l’occasion de lire ce texte durant ma formation ni dans ma pratique. J’ai donc entrepris de passer au travers durant la période des fêtes. Ce n’est pas si mal, c’est environ 200 pages, mais ce n’est pas de la lecture légère ! Le PDF est disponible en ligne gratuitement.

Alors, qu’en retient-on ? Globalement, c’est un excellent texte, dont des chapitres (les chapitres 3 et 8 en particulier) devraient selon moi être une lecture obligatoire dans le cadre de la formation des pharmaciens. De nombreuses parties du livre discutent de l’organisation des systèmes de déclaration d’erreurs et des aspects légaux, surtout pertinents aux États-Unis. D’autres chapitres examinent en profondeur les mécanismes qui conduisent aux erreurs, en particulier les erreurs médicamenteuses, et proposent des solutions réfléchies en profondeur pour y remédier.

N’importe quel professionnel de la santé fera face à des erreurs dans sa carrière, et doit comprendre les mécanismes qui mènent aux erreurs, ainsi que la manière d’y réagir, pour être préparé à cette éventualité. Tout pharmacien qui a un rôle à jouer dans l’organisation du travail, en particulier en établissement de santé, devrait connaître les réflexions qui sont exposées dans ce texte pour bien comprendre les enjeux de sécurité en soins de santé, et en particulier comment réagir face aux erreurs (error recovery).

Voici quelques points tirés du livre que je tiens à souligner, organisés par chapitre:

  • Chapitre 2: Ce chapitre commence par les données américaines des années 90 sur les erreurs en établissement de santé, mais par la suite explique bien les différents types d’erreurs et d’événements indésirables, et définit spécifiquement les erreurs liées aux médicaments. Les possibilités d’erreurs et d’événements indésirables à chaque étape du circuit du médicament sont exposées.
  • Chapitre 3: Ce chapitre examine en détail les mécanismes qui mènent à l’erreur, notamment le fait que les erreurs sont rarement causées par une seule personne qui agit mal, mais sont bien plus souvent causées par des problèmes de systèmes qui conduisent les gens à l’erreur (« systems that set people up for failure« ). L’emphase est mise sur la nécessité de comprendre les mécanismes latents qui mènent à l’erreur, pour apporter des changements aux systèmes problématiques, plutôt que de punir une personne qui aurait commis une erreur. La punition d’une seule personne a peu de chances de prévenir une nouvelle erreur similaire par une autre personne si aucun changement n’est apporté au système. Une analyse détaillée des risques d’erreurs associées aux systèmes complexes est présentée.
  • Chapitre 4: Ce chapitre discute surtout des organismes qui font la promotion de la sécurité des soins de santé aux États-Unis, mais débute par une discussion intéressante des systèmes de sécurité en place dans d’autres industries comme l’aviation.
  • Chapitre 5: Le chapitre 5 présente l’organisation des systèmes de déclaration d’erreurs aux États-Unis. La discussion est intéressante pour comprendre la différence entre les systèmes de déclaration obligatoire, qui ciblent les erreurs graves, et les systèmes de déclaration volontaire, qui ciblent les situations à risque et les erreurs de type « near-miss« .
  • Chapitre 7: Ce chapitre discute de la responsabilité de divers acteurs du milieu de la santé envers la sécurité des patients, notamment les autorités professionnelles, les organismes de réglementation, les organismes de certification professionnelle et les regroupement professionnels, ainsi que les administrateurs et les organismes qui financent le système de santé. Le tout est bien sûr centré sur les États-Unis, mais les principes qui s’en dégagent sont intéressants.
  • Chapitre 8: Le dernier chapitre du livre fait des recommandations très concrètes pour améliorer la sécurité des soins en établissement de santé. On débute par exposer les principes qui doivent guider l’organisation des systèmes de soins pour qu’une culture de sécurité existe: (1) offrir du leadership, (2) respecter les facteurs humains dans le design des processus, (3) promouvoir le travail efficace en équipe, (4) anticiper les problèmes et (5) créer un environnement qui favorise l’apprentissage. Par la suite, on présente des recommandations très détaillés sur l’utilisation des médicaments. La plupart des mesures qui sont présentées font maintenant partie de la base de l’utilisation des médicaments en établissement de santé. J’ai malgré tout été étonné de voir parmi ces principes plusieurs points qui doivent encore être défendus aujourd’hui, comme par exemple la standardisation de la méthode de prescription pour éviter les abréviations dangereuses, le retrait des médicaments et des électrolytes à haute concentration des unités de soins, la présence de pharmaciens durant les tournées médicales, la standardisation des processus pour les médicaments à haut risque, et l’implantation de la prescription électronique.