Hôpital minimum viable : établir votre base de référence pour la continuité clinique
Le concept d’hôpital minimum viable représente les fonctions les plus critiques que doivent avoir les organisations de soins de santé pour assurer la continuité clinique.
Pour déterminer son propre hôpital minimum viable, un organisme de santé doit identifier les 30 à 50 applications dont il a besoin pour continuer à prodiguer des soins aux patients pendant une panne. Il peut s’agir d’applications qui planifient les patients dans les chambres d’hôpital, commandent des laboratoires ou des fournitures chirurgicales et rémunèrent les employés.
Lors de la construction de son hôpital minimum viable, Franciscan Health, un système de santé de 12 hôpitaux dans l’Indiana et l’Illinois, a évalué plus de 100 applications qui s’intègrent à ses dossiers de santé électroniques et a réduit cette liste à environ 60.
« Ce sont les applications requises pour être minimalement viables en milieu clinique », déclare Charles Christian, vice-président de la technologie et CTO chez Franciscan Health.
Un hôpital minimum viable devrait également impliquer l’identification des procédures de soins de santé dépendantes de la technologie, telles que les traitements avancés du cancer, pour lesquelles les processus papier sont tout simplement insuffisants.
Conformité HIPAA et protection des données des patients en cas de catastrophe
Les établissements de santé doivent savoir où se trouvent toutes les données de leurs patients afin de pouvoir comprendre toute l’étendue de la violation lors d’une cyberattaque. Ils ne peuvent pas attendre une attaque pour découvrir, par exemple, que certains employés ont exporté certains ensembles de données sur des patients.
« Les établissements de santé doivent savoir où se trouvent leurs données sensibles surexposées », déclare Howell, soulignant le principe de l’Agence fédérale de cybersécurité et de sécurité des infrastructures selon lequel « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ».
Grâce à une vision à 360 degrés des données de ses patients, un établissement de santé sait quels patients avertir si des attaquants compromettent ses systèmes. En conséquence, « il est plus facile de se conformer à la loi HIPAA et d’informer les bons patients », explique Howell.
Créer un plan BCDR de soins de santé qui couvre les flux de travail cliniques clés
Pour les établissements de santé, un plan de continuité des activités et de reprise après sinistre a un objectif primordial : continuer à servir les patients.
Pour y parvenir, un plan BCDR doit couvrir les flux de travail cliniques clés. « La partie la plus difficile en matière de résilience et de continuité des activités, ce sont les flux de travail », explique Christian.
Il est important de noter qu’un plan BCDR documente ce que les employés doivent faire en cas de panne technologique, note Christian. Par exemple, le personnel clinique doit savoir comment utiliser des tableaux blancs pour suivre les patients ou comment utiliser des formulaires papier pour soumettre des commandes de laboratoire.
En plus d’être documenté, le plan BCDR doit être testé. Cela est particulièrement critique alors que de nombreux employés du secteur de la santé n’ont jamais prodigué de soins sans technologie. « Ils doivent savoir comment fonctionner pendant que nous travaillons à rétablir le réseau », explique Christian.
Le plan BCDR doit également établir l’objectif de temps de récupération et l’objectif de point de récupération. Le RTO est la durée maximale nécessaire pour restaurer les opérations normales après une panne, tandis que le RPO est la quantité maximale de données qu’une organisation peut perdre. Le RTO cible de Franciscan Health, par exemple, est de 72 heures.