Il n'est pas prévu d'intégrer l'INS dans les hôpitaux européens. En revanche, comme le profil IHE PAM est un standard d’interopérabilité international, le développement réalisé peut servir pour la communication avec les hôpitaux européens.

En effet, les différences entre IHE PAM FR et la version internationale sont les suivantes :

• rendre obligation l’option merge (pour la fusion de deux patients, si nécessaire) ;
• remplir les 5 traits associés à l’INS.

Oui, c'est cela.

Avec IHE PAM, l’INS est véhiculé par l’intermédiaire de messages HL7 V2. Ces messages peuvent être envoyés via une variété de transports TCP/IP. Parmi ces derniers, vous avez par exemple, un protocole particulièrement adapté au message HL7 V2, comme le MLLP (Minimum Lower Layer protocol) offre une prise en charge bidirectionnelle des informations à transmettre. Vous avez également un autre exemple, tel que le FTP (File Transfer Protocol) qui permet de réaliser une copie de fichiers vers un autre ordinateur.

Si le DMN n'a pas vocation à être RI, alors il peut être certifié conforme en tant qu'esclave de l'identité, et sera déployé dans des établissements même s'il n'est pas encore RI. Dans le cas contraire, le DMN devra être RI et pourra être déployé dans tous les établissements qui ne sont pas Référentiel d'Identités (RI). En outre, le financement à l’acquisition SONS Ségur et les financements à l’usage accélèrent le déploiement de l'INS au sein des hôpitaux. 

L’INS est opposable depuis début 2021. La puissance publique se doit de financer les solutions en accord avec la loi. En d’autre terme, pour bénéficier du remboursement, il vous faut être référencé, et pour cela, il faut avoir fait les développements nécessaires afin d'être en capacité d'avoir des INS qualifiés. Vous pouvez donc bénéficier du remboursement dès que vous êtes en capacité d’avoir des INS qualifiés. Si en pratique, les INS ne sont pas qualifiés, cela pourra être détecté lors d’audit et les pénalités seront appliquées telles que définies dans l’amendement en cours de la LFSS 2023.

Pour la demande d'homologation auprès du CNDA, il faut sélectionner a minima le profil de "recherche par traits d'identité". Si l’Entreprise du Numérique en Santé souhaite également que son DMN fasse des recherche par carte vitale, alors il faut aussi sélectionner le profil de "recherche par Carte Vitale".

L'INS est l'Identité Nationale de Santé, et prévaut sur toutes les autres. Si l'hôpital a fait les travaux nécessaires pour être Référentiel d'Identités, alors c'est l'INS qui fournira aux solutions esclaves de l'identité.

Comme noté à la page 14 du référentiel 1.2.2 : « Le Référentiel d’Interopérabilité et de Sécurité des Dispositifs Médicaux Numériques (DMN) exige une méthode d’authentification des usagers à 2 facteurs. Le Système doit donc implémenter cette méthode d’authentification (exigence IEU 9.1). » Le développement de la double authentification est donc obligatoire pour un DMN s'il y a un accès patient, et c’est une exigence qui sera vérifiée par l’ANS.

Par contre, il est également indiqué : « Pour tenir compte du cas où l’activation de l’authentification des usagers à 2 facteurs diminue l’usage de la solution et entraîne une perte de chance pour l’usager, le fabricant du DMN peut sous sa responsabilité ne pas activer systématiquement l’authentification à deux facteurs. ». Cela signifie que l’activation du double facteur peut ne pas être systématique pour l’ensemble des patients. Ce point est de la responsabilité de l'entreprise du numérique en santé développant le DMN.

Enfin, il est précisé dans le scénario IEU 9.1 : « L'accès du patient à une interface de déclaration simple dans le cadre d'un parcours de télésurveillance n'est pas soumis à ce scenario de conformité et ne nécessite pas d'authentification à deux facteurs systématique. » . Cela signifie que dans le cadre d’une déclaration simple, c’est-à-dire dans le cas où un patient accède à un simple formulaire de saisie de données (hors du DMN),  il n’est pas soumis au développement du double facteur.

Vous pouvez consulter le fichier des établissements de santé qui ont intégré les appels au téléservice INSi sur le site du GIE Sesam Vitale. Environ 50% des hôpitaux font les appels Téléservice INSi.

La gestion des attributs d'identités "Identité fictive" et "Identité douteuse" n'est pas obligatoire (INS 27 et 28).

Si ces attributs d'identité ne sont pas gérés, cette exigence peut être considérée comme non-applicable.

En revanche, si le Système permet à l'utilisateur de sélectionner l'un de ces attributs, alors le Système DOIT rétrograder le statut de l’identité à "Identité provisoire".

L'exigence INS 35 peut être « Non Applicable » lorsque la transmission de l’identité se fait uniquement dans un même domaine d’identification. Dans le cas contraire, cette exigence est obligatoire.

En cas de non applicabilité, une déclaration sur l'honneur justifiée et signée par le responsable légal de l'ENS devra être fournie à la place de la preuve attendue. 

L'implémentation de l'INS est obligatoire si le DMN permet un accès aux les professionnels de santé.

Les professionnels de santé sont listés de manière exhaustive dans le code de la santé publique :

• les professions médicales : médecins, odontologistes, chirurgiens-dentistes et sage-femmes (art. L4111-1 à L4163-10) ;
• les professions de la pharmacie et de la physique médicale : pharmaciens d’officine (exerçant en ville) et hospitaliers et physiciens médicaux (art. L4211-1 à L4252-3) ;
• les professions d’auxiliaires médicaux : aides-soignants, auxiliaires de puériculture, ambulanciers, assistant dentaires, infirmiers, masseurs-kinésithérapeutes, pédicures-podologues, ergothérapeutes, psychomotriciens, orthophonistes, orthoptistes, manipulateurs d’électroradiologie médicale, techniciens de laboratoire médical, audioprothésistes, opticiens-lunetiers, prothésistes, orthésistes, diététiciens (art. L4311-1 à L4394-4).

Les PSAD (ou PSDM) ne sont donc pas considérés comme des professionnels de santé au sens du code de la santé publique.

En revanche, les professionnels de santé travaillant au sein d'un PSDM doivent référencer l'INS.

En conclusion, si le DMN permet un accès à des professionnels de santé (en plus des accès aux PSAD ou PSDM), l'implémentation de l'INS est obligatoire. Si le DMN ne donne pas d'accès aux professionnels de santé, l'implémentation de l'INS n'est pas nécessaire.

Le référentiel d’identification électronique se borne à faire en sorte que les identifiants utilisés pour les usagers soient des identifiants uniques et sectoriels de préférence. Il n'existe aujourd'hui aucune exigence qui encadre ce cas de figure, même si la qualité de l’identification d’un usager est l’un des principes fondamentaux de la qualité et de la sécurité de sa prise en charge.

Vous trouverez toutes les informations nécessaires à l'implémentation de l'INS sur le Portail Industriels.

Si un système de télésurveillance/DMN est Référentiel d’identité et qu’il n’a pas besoin de consommer ou de diffuser l’identité au sein du même domaine d’identification, alors l’exigence INS 45 du référentiel des DMN peut être « Non Applicable ». Vous devez alors à minima fournir une déclaration sur l’honneur que le système ne reçoit pas d’échanges pour la gestion de l’INS, à la place des preuves INS 45 exigées. 

Vous trouverez les jeux de test de l'INS à l'adresse ci-dessous. Pour rappel, les preuves INS à fournir lors de la candidature pour la certification de conformité au référentiel des DMN sont à réaliser grâce à ce jeu de test.

Dans le cas d'une candidature pour un DMN pour lequel l'implémentation de l'Identité Nationale de Santé est non applicable, la conformité aux exigences IEU 7 et IEU 8 n'est pas obligatoire. Ces deux exigences sont donc "Non applicables".

En cas de non applicabilité, une déclaration sur l'honneur justifiée devra être fournie à la place de la preuve attendue. 

L'exigence INS 41 peut être « Non Applicable » lorsque la solution ne permet pas d’échanger des données avec une application tierce via un format informatisé. Dans le cas contraire, cette exigence est obligatoire.

En cas de non applicabilité, une déclaration sur l'honneur justifiée devra être fournie à la place de la preuve attendue. 

Non, un même site géographique ne peut bénéficier du SONS que pour une seule instance logicielle pour un même DSR.

Lorsqu'un établissement de santé sous-traite sa biologie à un laboratoire de biologie médicale tiers, c'est le laboratoire de première intention qui doit communiquer le résultat sur le DMP et via la MSS (aux correspondants et aux patients).