SwissDRG: certification des nouveaux services de réception de données

Pour la réception des factures de type DRG, les assureurs-maladie doivent mettre en place des services de réception des données. Ceux-ci doivent obligatoirement être certifiés au sens de la loi fédérale sur la protection des données. C’est la première fois qu’une certification en matière de protection des données devient obligatoire en Suisse.

Les forfaits par cas («Diagnosis Related Groups», abrégé DRG) constituent l'élément central du nouveau financement des hôpitaux. Les prestations des hôpitaux dans le domaine de la médecine somatique aiguë sont rémunérées en fonction de critères définis tels que le diagnostic principal, les diagnostics supplémentaires, les traitements ainsi que d'autres aspects. Pour permettre un remboursement correct des prestations par les assureurs-maladie, des factures spéciales doivent être émises. Celles-ci contiennent, en plus des données administratives, les informations médicales nécessaires sous forme codée. Cela signifie qu'avec chaque facture de type DRG, les assureurs-maladie reçoivent des données de santé détaillées sur la personne assurée.

D'un autre côté, il est évident que seule une petite partie des factures sera examinée en détail par les assureurs. C'est la raison pour laquelle un processus a dû être mis en place pour préserver la proportionnalité qui garantit que les assureurs n'aient accès aux indications médicales incluses dans la facture DRG que dans les cas où ils décident de soumettre la facture à un examen plus approfondi. Pour atteindre cet objectif, le Conseil fédéral a fixé dans l'ordonnance sur l'assurance-maladie (OAMal) que les assureurs-maladie doivent disposer d'un service de réception des données certifié au sens de la loi fédérale sur la protection des données. Ce service de réception se trouve en amont de l'assureur. Sa tâche consiste à effectuer un tri automatique des factures DRG entrantes.

Les factures y sont soumises à un contrôle de vraisemblance selon un ensemble de règles définies. En fonction du résultat, la facture sera ensuite transmise au service compétent de l'assureur. Une facture ne présentant aucune particularité est sans autre validée pour paiement, auquel cas l'assureur ne prend pas connaissance des informations médicales codées. Une facture destinée au médecin-conseil est directement transmise à ce dernier par le service de réception des données. Dans ce cas, le service de réception des données ne traite pas non plus les informations médicales codées; il constate uniquement que la facture est destinée au médecin-conseil et se contente de la lui transmettre. L'assureur ne prend évidemment pas non plus connaissance des informations médicales. Si le service de réception des données détecte une facture présentant des particularités, il la transmet à l'assureur afin que ce dernier la soumette à un examen plus approfondi. Dans ce cas, l'assureur reçoit le jeu complet des informations médicales et peut, si cela est nécessaire pour l'examen de la facture, demander des informations complémentaires au fournisseur des prestations. Concrètement, ces informations complémentaires sont les rapports de sortie et d'opération. Ce n'est qu'ainsi qu'une facture DRG peut être proprement examinée et pas seulement soumise à un contrôle de vraisemblance. Il en va de même pour le contrôle du codage. Si l'assureur demande des informations complémentaires, il doit obligatoirement en informer la personne assurée. Celle-ci peut demander que les informations complémentaires soient transmises au médecin-conseil.

En résumé, on peut dire que le service de réception des données effectue un tri automatisé des factures DRG, ne transmet à l'assureur que les factures présentant des particularités et assure ainsi le respect du principe de proportionnalité. Le Conseil fédéral a estimé que le service de réception des données devait obligatoirement être certifié au sens de la loi sur la protection des données pour les raisons suivantes: d'une part en vue de garantir que les services de réception des données assument correctement cette tâche et n'acheminent pas un nombre trop élevé de factures à l'assureur, et d'autre part en raison du fait que le service est exploité par l'assureur ou en son nom. Etant donné que la mise en place et la certification d'un tel service nécessite un certain temps, le Conseil fédéral a prévu une solution transitoire. Tant que l'assureur ne dispose pas encore d'un service de réception des données certifié, les hôpitaux doivent transmettre leurs factures DRG uniquement au médecin-conseil. À partir du 1er janvier 2014, tous les assureurs maladie devront disposer d'un service de réception des données certifié. La transmission au médecin-conseil ne sera plus autorisée au-delà de cette date.

Cette solution constitue une étape importante du point de vue de la protection des données. D'une part, nous avons pu participer activement à l'élaboration de l'ordonnance et contribuer ainsi à la conception des mesures de protection des données des assureurs-maladie. D'autre part, la certification en matière de protection des données gagne en importance par son caractère obligatoire. Dans un secteur où l'on traite d'énormes volumes de données personnelles sensibles, les personnes chargées de ces traitements doivent impérativement être en possession d'une certification au sens de la loi sur la protection des données. La manière dont le service de réception des données sera aménagé incombe à l'assureur et dépendra de la structure de ce dernier. Il ne fait aucun doute que de nombreux assureurs délégueront cette tâche à un prestataire externe, soit parce que l'exploitation d'un propre service de réception des données n'est pas rentable, soit parce qu'ils disposent déjà d'un prestataire externe qui effectue des traitements de données pour eux. Nous pouvons constater aujourd'hui que les grands assureurs n'auront pas besoin de la période transitoire car ils disposent déjà depuis le 1er janvier 2013 d'un service de réception des données certifié.

En ce qui nous concerne, le nouveau régime augmentera sensiblement notre charge de travail, vu que nous sommes chargés de contrôler les services de réception des données et leurs certifications. Les processus de certification varieront en fonction des cas. Etant donné que les sites peuvent être aménagés différemment en fonction des circonstances préexistantes. Nous contrôlerons également les prestataires qui se sont laissés certifier en tant que service de réception des données, tout en attachant une grande importance aux exigences spécifiques envers les certifications qui découlent du traitement des données. Ce n'est qu'avec des ressources humaines supplémentaires que le PFPDT sera en mesure de venir à bout de cette tâche complexe.

Dans un souci de transparence pour les personnes assurées, mais aussi pour la branche, nous publions depuis le 1er janvier 2013 - comme demandé par l'OAMal - la liste des services de réception des données certifiés au sens de la loi fédérale sur la protection des données.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/20e-rapport-d-activites-2012-2013/swissdrg--certification-des-nouveaux-services-de-reception-de-do.html